![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\")
Microsoft hat mit den August 2019-Updates auch eine gravierende, 20 Jahre alte Schwachstelle in allen Windows-Versionen geschlossen, die eine Ausweitung der Benutzerrechte erm\u00f6glicht. Googles Sicherheitsforscher Tavis Ormandi hat nun die Details offen gelegt. Microsoft stuft die Ausnutzbarkeit aber als 'weniger wahrscheinlich' ein und hat im August 2019 einen Sicherheitspatch zum Schlie\u00dfen freigegeben.<\/p>\n
<\/p>\n
Die Information liegt bereits seit einigen Stunden vor. Sicherheitsforscher Tavis Ormandi von Googles Projekt-Zero hat nun die Details des 'Kaninchen-Lochs' offen gelegt.<\/p>\n
\nHere's a video of the exploit I wrote, I actually had to write a custom rudimentary scripting language https:\/\/t.co\/eO74xahbjs<\/a><\/p>\n
\u2014 Tavis Ormandy (@taviso) August 13, 2019<\/a><\/p><\/blockquote>\n
Die Details hat Ormandy in diesem Beitrag<\/a> sowie auf GitHub<\/a> offen gelegt. The Hacker News hat das Thema aufgegriffen und diesen Artikel<\/a> ver\u00f6ffentlicht.<\/p>\n
Schwachstelle in Microsofts CTF<\/h2>\n
Unter Windows k\u00f6nnen Fenster auf dem gleichen Desktop miteinander kommunizieren. Dies er\u00f6ffnet die M\u00f6glichkeit, Das Programmfenster andere Fenster bewegen, deren Gr\u00f6\u00dfe \u00e4ndern, oder Fenster schlie\u00dfen. Und Fenster k\u00f6nnen sich oder sogar gegenseitig Eingaben senden. Zust\u00e4ndig f\u00fcr diese Kommunikation ist das CTF-Protokoll, welches seit Windows XP implementiert wurde.<\/p>\n
Bez\u00fcglich der genauen Bedeutung des K\u00fcrzels CTF gibt es unterschiedliche Interpretationen (siehe<\/a> und hier<\/a>). Es gibt das Collaborative Translation Framework<\/a>, was eine API f\u00fcr mehrsprachige Texte bereitstellt und veraltet ist. Es gibt auch ein Text Service Framework<\/a>, welches seit Windows XP erweiterte Text-Eingabemethoden unterst\u00fctzen soll<\/a>.<\/p><\/blockquote>\n
Die spannende Frage f\u00fcr Ormandi war: K\u00f6nnen Fenster, die mit normalen Benutzerrechten laufen, Befehle an Fenster mit Systemrechten senden? Input-Mode-Editoren f\u00fcr fremdsprachige Eingaben (japanische oder chinesische Texte \u00fcber westliche Tastaturen eingeben) sind beispielsweise solche Prozesse, die mit h\u00f6heren Rechten laufen.<\/p>\n
Meldet sich ein Benutzer an Windows an, startet er einen CTF-Monitordienst. Dieser wickelt die Kommunikation zwischen allen Clients ab, um fremdsprachige Eingaben umzuwandeln. Dazu schreibt Ormandi:<\/p>\n
\"You might have noticed the ctfmon service in task manager, it is responsible for notifying applications about changes in keyboard layout or input methods. The kernel forces applications to connect to the ctfmon service when they start, and then exchange messages with other clients and receive notifications from the service.\"<\/p><\/blockquote>\n
Der ctfmon-Dienst informiert also Anwendungen \u00fcber die \u00c4nderungen an der Eingabemethode, wobei der Windows-Kernel die Anwendungen mit dem Dienst kommunizieren l\u00e4sst. Der Dienst hat aber erh\u00f6hte Berechtigungen. Nun soll aber die UIPI, User Interface Privilege Isolation, verhindern und die M\u00f6glichkeit blocken, dass ein nicht privilegiertes Fenster Befehle an ein hochprivilegiertes Fenster sendet.<\/p>\n
Fehlende Zugriffskontrolle im ctfmon-Dienst<\/h3>\n
So weit die Theorie, f\u00fcr einen Praxistest hat Ormandi dann ein kleines Tool (ctftool) geschrieben. Mit diesem interaktiven Commandozeilen-Tool konnte er dann mit dem CTF experimentieren. Informationen zu diesem Tool finden sich hier<\/a>, wobei Ormandi dieses unter Windows 7, Windows 8 und Windows 10 in 32- sowie 64-Bit-Umgebungen getestet hat.<\/p>\n
Dabei machte er die Feststellung, dass es in ctfmon keine Pr\u00fcfung der Zugriffsberechtigungen und Authentifizierung gibt. Jede Anwendung, jeder Benutzer und sogar Prozesse in einer Sandbox k\u00f6nnen:<\/p>\n
\n
- eine Verbindung zur CTF-Sitzung herstellen,<\/li>\n
- aus jeder anderen Sitzung Texte eines beliebigen Fensters lesen und schreiben,<\/li>\n
- ihre Thread-ID, Prozess-ID und HWND f\u00e4lschen.<\/li>\n<\/ul>\n
Dies erm\u00f6glicht es, sich als CTF-Dienst gegen\u00fcber andere Anwendungen auszugeben. Das klappt auch bei privilegierten Anwendungen. Dies l\u00e4sst sich dann nutzen, um diese Anwendungen austricksen, um sich mit diesen zu verbinden und diesen Befehle zu senden. Es erm\u00f6glicht auch, aus Sandboxen auszubrechen und eine Eskalation von Privilegien zu erreichen. Tavis Ormandy demonstriert dies in nachfolgendem Video.<\/p>\n
(Quelle: YouTube<\/a>)<\/p>\n
Ormandis schreibt, das es m\u00f6glich war, \u00fcber Sessions hinweg zu kommunizieren und die NT-Sicherheitsmechanismen auszuhebeln. Die Schwachstelle besteht seit fast zwanzig Jahren, und niemand hat die bemerkt. So viel zur Versicherung Microsofts 'mit Windows 10 wird alles sicherer, denn alles ist neu und besser implementiert'.<\/p>\n
Microsoft patcht im August 2019<\/h2>\n
Tavis Ormandis hat die Schwachstelle und seine Erkenntnisse in diesem l\u00e4nglichen Blog-Beitrag<\/a> umfassend beschrieben und das Test-Tool auf GitHub ver\u00f6ffentlicht<\/a>. Wesentlich kompakter und lesefreundlicher ist der englischsprachige Beitrag bei The Hacker News<\/a> oder der deutschsprachige heise-Artikel.<\/p>\n
Relevant ist f\u00fcr Nutzer ist lediglich, dass die Schwachstelle CVE-2019-1162 in ctfmon existiert und ausnutzbar ist. Ormandis hat Microsoft \u00fcber diese Schwachstelle informiert, worauf diese im August 2019 das Problem in Sicherheitsupdates f\u00fcr diverse Windows-Versionen adressiert haben. Microsoft hat die Details im Beitrag CVE-2019-1162 | Windows ALPC Elevation of Privilege Vulnerability<\/a> ver\u00f6ffentlicht und dort auch die betreffenden Updates verlinkt. Die Windows-Entwickler stufen die Ausnutzbarkeit dieser Schwachstelle als 'wenig wahrscheinlich' (Exploitation Less Likely) ein.<\/p>\n","protected":false},"excerpt":{"rendered":"
Microsoft hat mit den August 2019-Updates auch eine gravierende, 20 Jahre alte Schwachstelle in allen Windows-Versionen geschlossen, die eine Ausweitung der Benutzerrechte erm\u00f6glicht. Googles Sicherheitsforscher Tavis Ormandi hat nun die Details offen gelegt. Microsoft stuft die Ausnutzbarkeit aber als 'weniger … Weiterlesen