{"id":256962,"date":"2021-08-25T01:48:36","date_gmt":"2021-08-24T23:48:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256962"},"modified":"2021-12-12T09:43:10","modified_gmt":"2021-12-12T08:43:10","slug":"steelseries-software-ermglicht-admin-rechte-lpe-unter-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/25\/steelseries-software-ermglicht-admin-rechte-lpe-unter-windows\/","title":{"rendered":"SteelSeries-Software ermöglicht Admin-Rechte (LPE) unter Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Nach dem Razer-Fall kommt jetzt der n\u00e4chste Klopper ans Tageslicht. Nachdem bekannt wurde, dass mit Razer-M\u00e4usen Standardnutzer \u00fcber die Treiberinstallation Administrator werden k\u00f6nnen, hat sich ein Sicherheitsforscher die SteelSeries-Ger\u00e4te-Software n\u00e4her angesehen. Auch die Software der SteelSeries erm\u00f6glicht jedem Standard-Nutzer mit wenigen Mausklicks administrative Privilegien unter Windows zu erlangen. Hier einigen Informationen zu diesem neuen Sicherheitsfall.<\/p>\n

<\/p>\n

Was oder wer ist SteelSeries?<\/h2>\n

\"\"SteelSeries<\/a> ist ein d\u00e4nischer Hersteller von Gaming-Peripherie und Zubeh\u00f6r, darunter Headsets, Tastaturen, M\u00e4use, Controller und Mauspads. Das Unternehmen wurde 2001 durch Jacob Wolff-Petersen gegr\u00fcndet, wie man auf Wikipedia<\/a> nachlesen kann. Mir ist bei einer Kurzrecherche nachfolgender Tweet (unverlinkt, da Details nicht relevant) unter die Augen gekommen.<\/p>\n

\"SteelSeries-Peripherie\"<\/p>\n

Es war eine Frage der Zeit, bis der n\u00e4chste Fall \u00f6ffentlich wird, nachdem eine lokale Privilegien-Eskalation (LPE) durch Anschlie\u00dfen einer Razer-Maus \u00fcber die Treiberinstallation dokumentiert wurde (ich hatte im Blog-Beitrag Windows 10: Administrator-Privilegien per Razer-Maus \u00fcber LPE-Schwachstelle erhalten<\/a> berichtet).<\/p>\n

Privilegien-Escalation bei Treibersoftware<\/h2>\n

Nachdem die Razer-Thematik \u00f6ffentlich wurde, hat der Sicherheitsforscher Lawrence Amer versucht, einen Test mit einer anderen Gaming-Tastatur aus der\u00a0 \"SteelSeries\" durchzuf\u00fchren, die er vor kurzem gekauft hatte. Nach einigen Versuchen stie\u00df er auf eine weitere Schwachstelle, die eine lokale Privilegien-Eskalation unter Windows erm\u00f6glicht. Der Versuch, den Hersteller \u00fcber seine Supportseite support.steelseries.com zu kontaktieren, war nicht erfolgreich. Lawrence Amer hat das Ganze in diesem Blog-Beitrag<\/a> auf 0xsp dokumentiert. In nachfolgendem Tweet<\/a> wies Lawrence Amer<\/a> von 0xsp dann \u00f6ffentlich darauf hin,\u00a0 dass ihm auch f\u00fcr die SteelSeries-Ger\u00e4te eine lokale Privilegien Eskalation (LPE) unter Windows gelungen sei.<\/p>\n

\"SteelSeries<\/a><\/p>\n

Angriffspunkt ist die SteelSeries-Software, die laut Bleeping Computer<\/a> nicht nur zur Konfigurierung von Tastaturen (Apex 7\/Pro), sondern auch f\u00fcr M\u00e4use (Rival 650\/600\/710) und Headsets (Arctis 9, Pro) verwendet werden kann. Nachdem der Sicherheitsforscher eine Tastatur an ein Windows-System angeschlossen hatte, beobachtete er den weiteren Installationsprozess.<\/p>\n

Die LPE-Schwachstelle<\/h2>\n

Bei der Installation, die durch das Anschlie\u00dfen der Tastatur angesto\u00dfen wurde, l\u00e4dt die Software zun\u00e4chst unter Windows eine weitere Setup-Datei mit dem Namen SteelSeriesGG6.2.0Setup.exe<\/em> in den Ordner C:\\windows\\temp <\/em>herunter. Es wird aber, anders als beim Razer-Fall, kein Ordner zum Speichern des Treiberdownloads angeboten. Dieser Weg zur lokalen Privilegien-Eskalation f\u00e4llt also aus.<\/p>\n

Auch im Procmon war er nicht erfolgreich, als er nach einer DLL-Hijacking-Schwachstelle suchen lie\u00df. Die Anwendung scheint keine fehlende DLL\/EXE aus Benutzerordnern laden, auf die normale Benutzer Zugriff haben. Aber der Sicherheitsforscher hat beim Monitoring des Setup-Vorgangs f\u00fcr die Software eine andere Schwachstelle gefunden. denn nach dem Download startet ein weiterer Setup-Prozess aus C:\\windows\\Temp\\, der mit SYSTEM-Privilegien l\u00e4uft.<\/p>\n

Ab dieser Stelle hat er dann probiert, eine administrative Eingabeaufforderung \u00fcber diesen Prozess zu starten. Da keinerlei Benutzerdialog angezeigt werden, so es zuerst so aus, als ob das Ganze unm\u00f6glich sei. Aber beim Setup wurde ein Dialogfeld zur Annahme einer Benutzervereinbarung angezeigt (siehe folgender Screenshot), die zum Fortzufahren vom Benutzer eine Zustimmung verlangt.<\/p>\n

\"SteelSeries
\nQuelle: Lawrence Amer, 0xsp<\/a><\/p>\n

Als er im Dialogfeld mit dem License Agreement auf den Link Learn More <\/em>klickte, wurde ihm unter Windows das Dialogfeld zur Auswahl einer Anwendung zum \u00d6ffnen dieses Links angeboten (Links war noch keine Anwendung zugewiesen). Dieses Dialogfeld (siehe folgender Screenshot) d\u00fcrfte den meisten Windows-Anwendern bereits untergekommen sein.<\/p>\n

\"App
\nQuelle: Lawrence Amer, 0xsp<\/a><\/p>\n

Der Sicherheitsforscher hat dann den Internet Explorer zum \u00d6ffnen der Webseite f\u00fcr diesen Link ausgew\u00e4hlt. Was mich dann aber schwer ersch\u00fcttert hat: Ich habe mir immer eingebildet, dass der Internet Explorer oder ein Browser unter einer niedrigeren Verbindlichkeitsstufe (IL) l\u00e4uft. Das gilt aber wohl nur f\u00fcr Downloads. Der von Amer ver\u00f6ffentlichte Screenshot der Prozessliste zeigt, dass der Internet Explorer mit SYSTEM-Berechtigungen als Prozess l\u00e4uft.<\/p>\n

\"Process
\nQuelle: Lawrence Amer, 0xsp<\/a><\/p>\n

Ab da war die Sache in trockenen T\u00fcchern. Der Sicherheitsforscher hat per Kontextmen\u00fc den Befehl zum Speichern der angezeigten Webseite angew\u00e4hlt, so dass das Dialogfeld zur Auswahl des Speicherziels angezeigt wurde. Dort konnte er dann als Standardnutzer mittels der Umschalttaste im Kontextmen\u00fc eine administrative Eingabeaufforderung \u00f6ffnen – schon hatte er Administrator-Berechtigungen.<\/p>\n

Ich habe mal kurz unter Windows 10 21H1 getestet. Im Internet Explorer 11 kann ich bei gedr\u00fcckter Umschalttaste den Befehl PowerShell-Fenster hier \u00f6ffnen <\/em>im Kontextmen\u00fc w\u00e4hlen. Das funktioniert auch im Microsoft Edge, oder mit Browsern wie dem Google Chrome. Und wenn der betreffende Browser mit System-Rechten l\u00e4uft, erh\u00e4lt das Fenster der PowerShell auch entsprechende administrative Berechtigungen. Lawrence Amer zeigt in seinem Artikel aber einen Screenshot mit dem Fenster der Eingabeaufforderung, er scheint also ein \u00e4lteres Windows 10 genutzt zu haben.<\/p>\n

Die Kollegen von Bleeping Computer weisen in diesem Artikel<\/a> darauf hin, dass nicht mal ein SteelSeries-Ger\u00e4t zum Testen erforderlich sei. Penetrationstester Istv\u00e1n T\u00f3th hat ein Open-Source-Skript<\/a> ver\u00f6ffentlicht, das HID-Ger\u00e4te (Human Interface Devices) auf einem Android-Smartphone imitieren kann. Das ist so \u00e4hnlich wie dieses GitHub-Projekt<\/a>, welches ich im Artikel Windows 10: Administrator-Privilegien per Razer-Maus \u00fcber LPE-Schwachstelle erhalten<\/a> in den Kommentaren verlinkt hatte.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10: Administrator-Privilegien per Razer-Maus \u00fcber LPE-Schwachstelle erhalten<\/a>
\nDie Nirsoft-Tools und die DLL-Hijacking-Schwachstellen<\/a>
\nAdwCleaner 8.0.4 schlie\u00dft neue DLL-Hijacking-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nach dem Razer-Fall kommt jetzt der n\u00e4chste Klopper ans Tageslicht. Nachdem bekannt wurde, dass mit Razer-M\u00e4usen Standardnutzer \u00fcber die Treiberinstallation Administrator werden k\u00f6nnen, hat sich ein Sicherheitsforscher die SteelSeries-Ger\u00e4te-Software n\u00e4her angesehen. Auch die Software der SteelSeries erm\u00f6glicht jedem Standard-Nutzer mit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-256962","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256962"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256962\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}