{"id":257535,"date":"2021-09-11T00:01:00","date_gmt":"2021-09-10T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257535"},"modified":"2023-12-05T00:56:10","modified_gmt":"2023-12-04T23:56:10","slug":"google-project-zero-0-day-schwachstelle-in-windows-appcontainern-offen-gelegt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/11\/google-project-zero-0-day-schwachstelle-in-windows-appcontainern-offen-gelegt\/","title":{"rendered":"Google Project Zero: 0-day-Schwachstelle in Windows-AppContainern offen gelegt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=21304\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein kurzer Nachtrag zu einem Thema, dass bereits einige Tage auf meinem Stack liegt. James Forshaw vom Google Project Zero hat bereits Mitte August 2021 eine Schwachstelle in den Windows AppContainern offen gelegt, bei der \u00fcber die Firewall im Netzwerk kommuniziert werden kann. Nachdem Microsoft \u00fcber die Schwachstelle informiert wurde, hie\u00df es, dass man keinen Patch bereitstelle. Vor kurzem ruderte Microsoft aber zur\u00fcck und k\u00fcndigte gegen\u00fcber Forshaw einen Patch an. James Forshaw vom Project Zero hat inzwischen aber die Schwachstelle und die Details der Sicherheitsl\u00fccke \u00f6ffentlich gemacht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/768524a424d545d3b317f9e885b07319\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte das Ganze bereits vor ca. 2 Wochen <a href=\"https:\/\/web.archive.org\/web\/20230609212428\/https:\/\/www.securityweek.com\/google-discloses-details-unpatched-windows-appcontainer-flaw\/\" target=\"_blank\" rel=\"noopener\">auf SecurityWeek<\/a> gesehen, bin dann aber erneut \u00fcber <a href=\"https:\/\/twitter.com\/Kaspersky_DACH\/status\/1429806975907471363\" target=\"_blank\" rel=\"noopener\">Twitter<\/a> auf das Thema aufmerksam geworden.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Kaspersky_DACH\/status\/1429806975907471363\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"0-day in Windows AppContainer\" src=\"https:\/\/i.imgur.com\/euWSpA3.png\" alt=\"0-day in Windows AppContainer\" \/><\/a><\/p>\n<p>Das Problem ist schnell umrissen: Microsoft schreibt, dass Anwendungen in einem AppContainer nicht gehackt werden k\u00f6nnen, um b\u00f6swillige Aktionen au\u00dferhalb der begrenzten zugewiesenen Ressourcen zu erm\u00f6glichen. Sicherheitsforscher James Forshaw vom Google Project Zero ist aber auf eine Schwachstelle im Windows AppContainer gesto\u00dfen, die Anwendungen die Umgehung der Firewall-Regeln erm\u00f6gllicht.<\/p>\n<h2>Firewall-Regeln lassen sich umgehen<\/h2>\n<p>In einem Blog-Beitrag <a href=\"https:\/\/googleprojectzero.blogspot.com\/2021\/08\/understanding-network-access-windows-app.html\" target=\"_blank\" rel=\"noopener\">Understanding Network Access in Windows AppContainers<\/a> beschreibt er, wie er sich mit dem Innenleben der Windows Firewall besch\u00e4ftigte. Die Firewall dient dazu, Einschr\u00e4nkungen durchzusetzen. Dazu geh\u00f6ren auch Regeln, ob z. B. Anwendungen aus AppContainer-Sandboxen auf das Netzwerk zugreifen d\u00fcrfen bzw. k\u00f6nnen.<\/p>\n<p>In diesem Kontext ist es interessant, ob es die M\u00f6glichkeit gibt, Netzwerkbeschr\u00e4nkungen in AppContainer-Sandboxen zu umgehen. In einem solchen Szenario vergr\u00f6\u00dfert sich die Angriffsfl\u00e4che einer b\u00f6sartigen Anwendung, die im AppContainer l\u00e4uft. Die Anwendung bekommt z. B. die M\u00f6glichkeit, auf Dienste \u00fcber localhost zuzugreifen oder den Zugriff auf Intranet-Ressourcen in einem Unternehmen zu versuchen.<\/p>\n<p>Da der Mechanismus, den die Windows-Firewall verwendet, um den Zugriff auf das Netzwerk von einem AppContainer aus zu beschr\u00e4nken, wohl nicht offiziell dokumentiert ist, beschreibt Forshaw die Details zur Implementierung der Beschr\u00e4nkungen.<\/p>\n<p>Bei seinen Untersuchungen entdeckte der Sicherheitsforscher dann ein Konfigurationsproblem in Verbindung mit der Windows-Firewall. Dies erm\u00f6glicht es, die Beschr\u00e4nkungen der Firewall zur Kommunikation zu umgehen und einem AppContainer-Prozess den Zugriff auf das Netzwerk zu gestatten. Die Details sind im Blog-Beitrag <a href=\"https:\/\/googleprojectzero.blogspot.com\/2021\/08\/understanding-network-access-windows-app.html\" target=\"_blank\" rel=\"noopener\">Understanding Network Access in Windows AppContainers<\/a> beschrieben.<\/p>\n<h2>Microsoft will zuerst nicht patchen<\/h2>\n<p>Forshaw hat dann Microsoft am 8. Juli 2021 \u00fcber seine Entdeckung informiert. Leider hat Microsoft bereits am 19. Juli\u00a0 entschieden, dass dieses Problem nicht den Anforderungen eines Sicherheitsbulletins entspricht.<\/p>\n<p>Die Argumentation von Microsoft lautete: Da die Anwendungen im AppContainer nicht gehackt werden k\u00f6nnen, m\u00fcsste bereits eine kompromittierte App dort eingeschleust werden, um die Schwachstelle auszunutzen. Also ist es kein wirkliches Sicherheitsproblem. Die Meldung wurde als WontFix markiert.<\/p>\n<p>Nachdem Forshaw seine Erkenntnisse am 9. Juli 2021 auf <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=2207\" target=\"_blank\" rel=\"noopener\">Google Project Zero<\/a> eintrug und wohl auf Grund der Antwort Microsofts am 19. Juli 2021 ver\u00f6ffentlichte, machte Microsoft jedoch eine Kehrtwende. Redmond teilte Forshaw mit, dass man doch einen Patch entwickeln werde. Inzwischen hat Forshaw aber seine Erkenntnisse mit allen Details im Blog-Beitrag <a href=\"https:\/\/googleprojectzero.blogspot.com\/2021\/08\/understanding-network-access-windows-app.html\" target=\"_blank\" rel=\"noopener\">Understanding Network Access in Windows AppContainers<\/a> offen gelegt. Wann ein Patch von Microsoft kommt, ist mir nicht bekannt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kurzer Nachtrag zu einem Thema, dass bereits einige Tage auf meinem Stack liegt. James Forshaw vom Google Project Zero hat bereits Mitte August 2021 eine Schwachstelle in den Windows AppContainern offen gelegt, bei der \u00fcber die Firewall im &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/11\/google-project-zero-0-day-schwachstelle-in-windows-appcontainern-offen-gelegt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-257535","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257535"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257535\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}