{"id":258695,"date":"2021-10-19T00:22:00","date_gmt":"2021-10-18T22:22:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258695"},"modified":"2021-10-18T18:57:48","modified_gmt":"2021-10-18T16:57:48","slug":"windows-11-defender-bypass-mit-ausbruch-aus-der-sandbox","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/19\/windows-11-defender-bypass-mit-ausbruch-aus-der-sandbox\/","title":{"rendered":"Windows 11: Defender-Bypass mit Ausbruch aus der Sandbox"},"content":{"rendered":"

\"Windows\"[English<\/a>]Es sieht so aus, als ob der Windows Defender durch Schwachstellen ausgehebelt werden kann, so dass Schadprogramme aus der Sandbox ausbrechen und auf das Betriebssystem zugreifen k\u00f6nnen. Mir ist gerade eine Information unter die Augen gekommen, wo ein Sicherheitsforscher genau dieses Szenario f\u00fcr Windows 11 skizziert.<\/p>\n

<\/p>\n

Der nachfolgende Tweet<\/a> des Sicherheitsforschers @an0n_r0 enth\u00e4lt nur wenige Informationen, die aber diverse Schl\u00fcsse erm\u00f6glichen.<\/p>\n

\"Windows<\/a><\/p>\n

Der Sicherheitsforscher hat sich Windows 11 vorgenommen, um dort die Sicherheit des Windows Defender zu testen. Es geht darum, in einem \u00fcberpr\u00fcften Programm per Schadfunktion in der Sandbox, die genau diesen Schadcode isolieren soll, auszubrechen. Im Anschluss gilt es, einen vorher verschl\u00fcsselt im Schadcode enthaltenen Shell-Code in den Speichern zu schreiben. Gelingt dies, ist dann noch ein Prozess im supendierten Zustand zu erzeugen, und der im Speicher bereits vorliegenden Shell-Code in den zugewiesenen Speicherbereich zu kopieren.<\/p>\n

Sind diese Schritte bew\u00e4ltigt, kann der betreffende Prozess remote angesto\u00dfen und der Shell-Code ausgef\u00fchrt werden. In obigem Tweet zeigen die Screenshots, dass genau diese Schritte geklappt haben und der Shellcode in der Lage ist, Daten aus Windows abzurufen und in einem Eingabefenster anzuzeigen.<\/p>\n

Der Meterpeter-Ansatz<\/h2>\n

Der Sicherheitsforscher nennt keine Details, wie er diese Schritte bew\u00e4ltigt hat, l\u00e4sst aber die Bemerkung \"das funktioniert mit Meterpeter\" fallen. Meterpreter ist laut dieser Seite<\/a> eine Nutzlast f\u00fcr Metasploit-Angriffe, und stellt eine interaktive Shell bereit. \u00dcber diese Shell kann ein Angreifer den Zielcomputer erkunden und Code ausf\u00fchren kann. Meterpreter wird mittels In-Memory-DLL-Injection bereitgestellt und der Schadcode befindet sich vollst\u00e4ndig im Speicher. Es wird nichts auf die Festplatte geschrieben, d.h. es handelt sich um file less malware. Es werden in der Ursprungsfassung auch keine neuen Prozesse erstellt, da Meterpreter sich selbst in den kompromittierten Prozess injiziert. Von dort kann er dann zu anderen laufenden Prozessen migrieren. Der forensische Fu\u00dfabdruck eines solchen Angriffs sehr begrenzt.<\/p>\n

Auf dieser Seite<\/a> erf\u00e4hrt man noch, dass Meterpreter f\u00fcr eine dynamisch erweiterbare Nutzlast steht, die speicherinterne DLL-Injection-Stager verwendet und zur Laufzeit \u00fcber das Netzwerk erweitert wird. Meterpeter kommuniziert \u00fcber den Stager-Socket und bietet eine umfassende clientseitige Ruby-API. Es bietet eine Befehlshistorie, Tabulatorvervollst\u00e4ndigung, Kan\u00e4le und mehr.<\/p>\n

Meterpeter wurde urspr\u00fcnglich von skape f\u00fcr Metasploit<\/a> 2.x geschrieben, gemeinsame Erweiterungen wurden f\u00fcr 3.x zusammengef\u00fchrt und werden derzeit f\u00fcr Metasploit 3.3 \u00fcberarbeitet. Der Serverteil ist in einfachem C implementiert und wird jetzt mit MSVC kompiliert, was ihn einigerma\u00dfen portabel macht. Der Client kann in jeder beliebigen Sprache geschrieben werden, aber Metasploit verf\u00fcgt \u00fcber eine voll funktionsf\u00e4hige Ruby-Client-API.<\/p>\n

Metasploit<\/a> ist ein Projekt zur Computersicherheit, das Informationen \u00fcber Sicherheitsl\u00fccken bietet und bei Penetrationstests sowie der Entwicklung von IDS-Signaturen eingesetzt werden kann. Das bekannteste Teilprojekt ist das freie Metasploit Framework, ein Werkzeug zur Entwicklung und Ausf\u00fchrung von Exploits gegen verteilte Zielrechner. Andere wichtige Teilprojekte sind das Shellcode-Archiv und Forschung im Bereich der IT-Sicherheit.<\/p>\n

Kleiner C-Code-Loader<\/h2>\n

Offenbar reichen die in diesem Projekt enthaltenen Frameworks und Tools, um den oben skizzierten Ansatz eines Ausbruchs aus der Sandbox des Windows Defenders zu erm\u00f6glichen und sich dann im Betriebssystem umzusehen. Inzwischen hat sich der Sicherheitsforscher @an0n_r0 aber gemeldet und schreibt, dass es seine Motivation gewesen sei, einen minimalen Bypass ohne Verwendung eines Frameworks zu erm\u00f6glichen. Der verwendete Loader sei klein und in C geschrieben. Zur Obfuscation wurde eine einfache rc4-Verschl\u00fcsselung f\u00fcr den Shell-Code im Loader implementiert. Der eigentliche Bypass setzt auf einer grundlegenden \u00dcberpr\u00fcfung des Benutzernamens auf. Um eine Erkennung durch den Defender zu verhindern, erfolgt keine g\u00fcltige rc4-Entschl\u00fcsselung des Shell-Codes, wenn der aktuelle Benutzername nicht das Ziel ist.<\/p>\n

Aktuell gibt es keinen Proof of Concept Code, der ver\u00f6ffentlicht wurde – der Tweet zeigt aber, dass auch dieses abgesicherte Windows 11 wohl mit einfachsten Mitteln \u00fcber den Defender angegriffen werden kann. Ein weiterer Sicherheitsforscher k\u00fcndigt an, dass er an etwas vergleichbarem arbeite und f\u00fcr Ende Oktober 2021 eine Ver\u00f6ffentlichung mit Details plane.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es sieht so aus, als ob der Windows Defender durch Schwachstellen ausgehebelt werden kann, so dass Schadprogramme aus der Sandbox ausbrechen und auf das Betriebssystem zugreifen k\u00f6nnen. Mir ist gerade eine Information unter die Augen gekommen, wo ein Sicherheitsforscher genau … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[2699,4328,8257],"class_list":["post-258695","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-defender","tag-sicherheit","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258695"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258695\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}