{"id":241235,"date":"2021-01-08T02:10:27","date_gmt":"2021-01-08T01:10:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241235"},"modified":"2021-01-08T02:27:05","modified_gmt":"2021-01-08T01:27:05","slug":"0patch-fixt-local-privilege-escalation-0-day-in-sysinternals-psexec","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/08\/0patch-fixt-local-privilege-escalation-0-day-in-sysinternals-psexec\/","title":{"rendered":"0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec"},"content":{"rendered":"

\"win7\"[English<\/a>]ACROS Security hat einen Micropatch f\u00fcr eine Local Privilege Escalation 0-day Schwachstelle im SysInternals-Tool PsExec f\u00fcr seinen 0patch-Agenten freigegeben. PsExec wird von Administratoren eingesetzt, um Aufgaben mit Systemprivilegien auszuf\u00fchren.<\/p>\n

<\/p>\n

\"\"Es d\u00fcrfte sich kein Windows-Administrator finden, der PsExec nicht irgendwann einmal benutzt hat. Einige Leute wissen nicht einmal, dass sie PsExec verwenden. Denn PsExec ist in verschiedene anderes Tools integriert (zum Beispiel in Tools wie JetBrains TeamCity, ist bei der SolarWinds-Geschichte m\u00f6glicherweise involviert).<\/p>\n

Der Local Privilege Escalation 0-day in PsExec<\/h3>\n

Tenable Sicherheitsforscher David Wells hat letzten Monat eine Analyse einer lokalen Schwachstelle zur Privilegienerweiterung in PsExec ver\u00f6ffentlicht<\/a>, ein leistungsstarkes Management-Tool von SysInternals (das von Microsoft \u00fcbernommen wurde), das den Start von ausf\u00fchrbaren Dateien auf entfernten Computern erm\u00f6glicht.<\/p>\n

Die Sicherheitsl\u00fccke verwendet ein Named Pipe Hijacking (auch bekannt als Named Pipe Squatting). Wenn PsExec versucht, eine ausf\u00fchrbare Datei auf dem Remote-Computer zu starten, erstellt es dort mit PSEXESVC.EXE einen tempor\u00e4ren Windows-Dienst, den es aus seinem Code extrahiert. Dieser Dienst wird unter dem lokalen Systembenutzer gestartet und verbindet sich mit seiner Named Pipe, um ihm Startanweisungen zu geben. PSEXESVC.EXE erstellt die Named Pipe mit Rechten, die es einem Nicht-Administrator oder Nicht-System-Benutzer nicht erlauben, sich mit ihr zu verbinden.<\/p>\n

Der Angriff besteht nun darin, dass ein b\u00f6sartiger lokaler Prozess eine Named Pipe mit demselben Namen erstellt, den PSEXESVC.EXE verwendet, allerdings bevor der Dienst sie erstellt. PSEXESVC.EXE, das als Lokales System ausgef\u00fchrt wird, versucht anschlie\u00dfend, dieselbe Named Pipe zu erstellen, \u00f6ffnet aber lediglich die vorhandene Pipe erneut und l\u00e4sst deren Berechtigungen intakt. An diesem Punkt kann der Angreifer eine Verbindung zur Named Pipe herstellen und den Dienst dazu bringen, alles auszuf\u00fchren.<\/p>\n

David Wells hat ein Proof-of-Concept f\u00fcr diese Sicherheitsl\u00fccke geliefert. Gef\u00e4hrdet sind grunds\u00e4tzlich alle Windows-Rechner, auf dem Admins mit PsExec (oder Management-Tools, die PsExec verwenden) ausf\u00fchrbare Dateien remote starten und sich auf dem Rechner bereits ein Angreifer ohne Admin-Rechte befindet. Der Angriff erm\u00f6glicht eine Erh\u00f6hung der Privilegien.<\/p>\n

Zum Zeitpunkt der Erstellung dieses Artikels ist kein offizieller Patch von Microsoft verf\u00fcgbar. PsExec.exe und PsExec64.exe, die die anf\u00e4llige PSEXESVC.EXE kapseln, sind Teil der PsTools-Suite und wurden zuletzt im Juni 2016 aktualisiert. Laut Tenable sind alle PsExec-Versionen von 1.72 (aus dem Jahr 2006) bis zur neuesten Version 2.2 (aus dem Jahr 2016) betroffen, was bedeutet, dass die Schwachstelle bereits seit etwa 14 Jahren besteht.<\/p>\n

0patch-Fix verf\u00fcgbar<\/h3>\n

Mitja Kolsek hat mich auf Twitter<\/a> darauf hingewiesen, dass ACROS Security einen Micropatch f\u00fcr alle 0patch-Nutzer bereitstellt.<\/p>\n

\"<\/a>
\n(0patch Fix LPE-Schwachstelle)<\/p>\n

Mitja Kolsek hat in diesem Blog-Beitrag<\/a> noch einige Details zu diesem Micropatch und zur Schwachstelle ver\u00f6ffentlicht. Dieser Micropatch ist f\u00fcr alle 0patch-Benutzer (also auch f\u00fcr die Free-Lizenz) ab sofort verf\u00fcgbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet. Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen.<\/p>\n

Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (z.B. hier<\/a>), die ich unten verlinkt habe.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1
\nWindows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2
\nWindows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a>
\nWindows 7\/Server 2008\/R2 Life Extension-Projekt & 0patch Probemonat<\/a>
\n0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
\n0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
\n0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
\n0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
\n0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
\n0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]ACROS Security hat einen Micropatch f\u00fcr eine Local Privilege Escalation 0-day Schwachstelle im SysInternals-Tool PsExec f\u00fcr seinen 0patch-Agenten freigegeben. PsExec wird von Administratoren eingesetzt, um Aufgaben mit Systemprivilegien auszuf\u00fchren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7875,4328,4294],"class_list":["post-241235","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-0patch","tag-sicherheit","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=241235"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241235\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=241235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=241235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=241235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}