{"id":234418,"date":"2020-08-12T19:03:27","date_gmt":"2020-08-12T17:03:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234418"},"modified":"2020-08-12T19:21:33","modified_gmt":"2020-08-12T17:21:33","slug":"project-zero-august-2020-lsass-patch-schtzt-windows-10-unzureichend","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/12\/project-zero-august-2020-lsass-patch-schtzt-windows-10-unzureichend\/","title":{"rendered":"Project Zero: August 2020 LSASS-Patch sch&uuml;tzt Windows 10 unzureichend"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/08\/12\/project-zero-august-2020-lsass-patch-schtzt-windows-10-unzureichend\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Da ist Microsoft wohl mit seinen Windows Sicherheitsupdates vom 11. August 2020 etwas zu kurz gesprungen. Die sollten zwar die LSASS-Schwachstelle beseitigen. Vom Google Project Zero hei\u00dft es aber, die Schwachstelle ist in Windows 10 Version 1909 nur unzureichend gepatcht.<\/p>\n<p><!--more--><\/p>\n<h2>Patch der Schwachstelle CVE-2020-1509<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/b38ced4e6bc14a318a1ff9872bf1e4fb\" alt=\"\" width=\"1\" height=\"1\" \/>In Windows gab es die Schwachstelle <a href=\"https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance\/advisory\/CVE-2020-1509\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1509<\/a> (Local Security Authority Subsystem Service Elevation of Privilege Vulnerability). Hintergrund ist, dass der Local Security Authority Subsystem Service (LSASS) eine Elevation of Privilege erm\u00f6glichte. Dazu musste ein authentifizierter Angreifer eine speziell gestaltete Authentifizierungsanfrage senden. Ein Remote-Angreifer, der diese Schwachstelle erfolgreich ausnutzt, k\u00f6nnte eine Erh\u00f6hung der Privilegien im LSASS-Dienst des Zielsystems verursachen.<\/p>\n<p>Microsoft hat zum 11. August 2020 Sicherheitsupdates f\u00fcr Windows 8.1 bis Windows 10 &#8211; einschlie\u00dflich der Server-Pendants freigegeben (siehe <a href=\"https:\/\/portal.msrc.microsoft.com\/en-us\/security-guidance\/advisory\/CVE-2020-1509\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1509<\/a>). Mit den Sicherheitsupdates sollte die Schwachstelle beseitigt werden. James Forshaw vom Team Project Zero wurde f\u00fcr die Entdeckung und Meldung der Schwachstelle gedankt.<\/p>\n<h2>Patch wohl unvollst\u00e4ndig<\/h2>\n<p>James Forshaw vom Team Project Zero <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=2039\" target=\"_blank\" rel=\"noopener noreferrer\">schreibt zum<\/a> 5. Mai 2020 (in einer jetzt wohl \u00f6ffentlich gewordenen Meldung), dass die Sicherheitsupdates von Microsoft wohl unvollst\u00e4ndig seien &#8211; siehe seinen Nachtrag vom 12. August 2020.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Seems that it was incorrectly fixed (guess it's one of those days). As I pointed out in the original report the parsing of the SPN was wildly incorrect, as it hasn't been fixed as long as the system has a proxy configured you can bypass the fix. <a href=\"https:\/\/t.co\/IytJ8YKDKi\">https:\/\/t.co\/IytJ8YKDKi<\/a> <a href=\"https:\/\/t.co\/mXlriMS29R\">https:\/\/t.co\/mXlriMS29R<\/a><\/p>\n<p>\u2014 James Forshaw (@tiraniddo) <a href=\"https:\/\/twitter.com\/tiraniddo\/status\/1293327807439831040?ref_src=twsrc%5Etfw\">August 11, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ich bin \u00fcber obigen Tweet und diesen Beitrag auf diesen Sachverhalt gesto\u00dfen.<\/p>\n<blockquote><p>Windows: AppContainer Enterprise Authentication Capability Bypass<br \/>\nPlatform: Windows 10 1909<br \/>\nClass: Elevation of Privilege<br \/>\nSecurity Boundary: AppContainer<br \/>\nSummary:<br \/>\nLSASS doesn't correctly enforce the Enterprise Authentication Capability which allows any AppContainer to perform network authentication with the user's credentials.<br \/>\nDescription:<br \/>\nOne of the original legacy AppContainer capabilities grants access to Enterprise Authentication, which basically means access to the SSPI functions. This is listed on <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/uwp\/packaging\/app-capability-declarations\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/docs.microsoft.com\/en-us\/windows\/uwp\/packaging\/app-capability-declarations<\/a> as a Restricted Capability which means that it wouldn't automatically be approved in the Windows Store and is probably only used in side-loaded Enterprise LOB applications. Without this capability access to SSPI would be blocked.<\/p><\/blockquote>\n<p>In Kurz: Zumindest unter Windows 10 Version 1909erzwingt LSASS die Enterprise Authentication Capability nicht korrekt. Dadurch wird es jedem AppContainer erm\u00f6glicht, die Netzwerkauthentifizierung mit den Anmeldedaten des Benutzers durchzuf\u00fchren.<\/p>\n<p>Es wurde auch ein Proof-of-Concept (PoC)-Code beigef\u00fcgt, um zu zeigen, wie eine Anwendung die Enterprise-Authentifizierung umgehen kann, um erh\u00f6hte Privilegien zu erreichen. Der PoC versucht, die Freigaben des Windows Server Message Block (SMB) aufzulisten, und obwohl das Betriebssystem diesen Zugriff nicht erlauben sollte, werden die lokalen Freigaben dennoch aufgelistet. Details lassen sich bei Interesse <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=2039\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> sowie bei <a href=\"https:\/\/www.zdnet.com\/article\/google-to-microsoft-nice-windows-10-patch-but-its-incomplete\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet<\/a> nachlesen. Mal schauen, wann Microsoft nachbessert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Da ist Microsoft wohl mit seinen Windows Sicherheitsupdates vom 11. August 2020 etwas zu kurz gesprungen. Die sollten zwar die LSASS-Schwachstelle beseitigen. Vom Google Project Zero hei\u00dft es aber, die Schwachstelle ist in Windows 10 Version 1909 nur unzureichend gepatcht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301],"tags":[24,4315,3288],"class_list":["post-234418","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","tag-problem","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234418"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234418\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}