Eine Sicherheitslücke in Windows erlaubt, die Rechte von Nutzerkonten auszuweiten. Die Lücke ist seit zehn Monaten bekannt und wurde noch nicht geschlossen. Schadsoftware-Autoren dürften sich freuen.
Alle Windows-Systeme seit Windows XP sind von einer Sicherheitslücke betroffen, mit der sich auf sehr einfache Weise die Rechte eines Benutzers ändern lassen. Der Sicherheitsforscher Sebastian Castro hatte die Lücke bereits im Dezember 2017 gefunden und auf mehreren Sicherheits-Konferenzen präsentiert. Bisher erregte sie weder medial noch unter Schadsoftware-Autoren besondere Aufmerksamkeit, dabei kann sie sehr leicht ausgenutzt werden. Geschlossen wurde sie zudem auch noch nicht.
Unter Windows lassen sich die Nutzerrechte von einem Nutzer auf einen anderen übertragen. Voraussetzung dafür ist, dass ein Angreifer sich als ein beliebiger Nutzer, das kann auch der Gast-Account sein, auf einem Windows-System anmelden kann. Unter Windows besitzt jeder Nutzer einen Security Identifier (SID), dieser wird in der Registry, in welcher Windows zentrale Einstellungen und Konfigurationsdaten ablegt, gespeichert. Diese sind bis auf die letzten drei Stellen bei allen Nutzern auf dem Windows-System gleich. Diese drei Stellen werden Relative Identifier (RID) genannt und beschreiben die Berechtigungen des Nutzers. Beispielsweise haben die beiden standardmäßig eingerichteten Konten Administrator und Gast die RID 500 und 501.
Wird die RID 500 nun auf das Gast-Konto übertragen und sich mit diesem eingeloggt, kann es mit Administratorrechten verwendet werden. Es ist sogar möglich, Software unter dem Benutzer, dessen RID übernommen wurde, auszuführen. Also in diesem Fall aus dem Gast-Konto heraus nicht nur Software mit Administratorrechten, sondern als Administrator auszuführen. Selbst von deaktivierten Konten können die Rechte übernommen werden. Auch ein Plugin für Metasploit, einer Pentesting-Software, ist verfügbar. Mit diesem kann der Angriff automatisiert ausgeführt werden.
RID Hijacking
Castro nennt den Angriff passenderweise RID Hijacking. Die Methode ist persistent, die erweiterten Rechte bleiben auch nach einem Neustart des Systems erhalten. Zudem funktioniert sie auf allen gängigen Windows-Systemen von Windows XP bis Windows 10, aber auch von Windows Servern 2003 bis 2016. Selbst noch ältere Versionen von Windows sollen von der Lücke betroffen sein.
Der Sicherheitsforscher hat sich nach eigenen Angaben umgehend an Microsoft gewandt, als er die Lücke entdeckte. Auf seinen Hinweis habe er keinerlei Rückmeldung erhalten. Bisher ist kein Fall bekannt, in dem die Sicherheitslücke von Schadsoftware ausgenutzt wurden. Laut Castro haben sich mehrere Schadsoftware-Analysten ihm gegenüber geäußert, dass sie ein Ausnutzen der Lücke noch nicht beobachtet hätten. Andererseits ist die Lücke so trivial, dass Castro nicht davon ausgeht, dass sie noch nicht von anderen entdeckt oder ausgenutzt wurde. Dabei dürfte die Technik für Autoren von Schadsoftware durchaus interessant sein: Eine einfache, persistente Ausweitung der Rechte sowie das Ausführen von Software unter anderen Benutzern ist selten so einfach zu haben.
Quelle; golem
Alle Windows-Systeme seit Windows XP sind von einer Sicherheitslücke betroffen, mit der sich auf sehr einfache Weise die Rechte eines Benutzers ändern lassen. Der Sicherheitsforscher Sebastian Castro hatte die Lücke bereits im Dezember 2017 gefunden und auf mehreren Sicherheits-Konferenzen präsentiert. Bisher erregte sie weder medial noch unter Schadsoftware-Autoren besondere Aufmerksamkeit, dabei kann sie sehr leicht ausgenutzt werden. Geschlossen wurde sie zudem auch noch nicht.
Unter Windows lassen sich die Nutzerrechte von einem Nutzer auf einen anderen übertragen. Voraussetzung dafür ist, dass ein Angreifer sich als ein beliebiger Nutzer, das kann auch der Gast-Account sein, auf einem Windows-System anmelden kann. Unter Windows besitzt jeder Nutzer einen Security Identifier (SID), dieser wird in der Registry, in welcher Windows zentrale Einstellungen und Konfigurationsdaten ablegt, gespeichert. Diese sind bis auf die letzten drei Stellen bei allen Nutzern auf dem Windows-System gleich. Diese drei Stellen werden Relative Identifier (RID) genannt und beschreiben die Berechtigungen des Nutzers. Beispielsweise haben die beiden standardmäßig eingerichteten Konten Administrator und Gast die RID 500 und 501.
Wird die RID 500 nun auf das Gast-Konto übertragen und sich mit diesem eingeloggt, kann es mit Administratorrechten verwendet werden. Es ist sogar möglich, Software unter dem Benutzer, dessen RID übernommen wurde, auszuführen. Also in diesem Fall aus dem Gast-Konto heraus nicht nur Software mit Administratorrechten, sondern als Administrator auszuführen. Selbst von deaktivierten Konten können die Rechte übernommen werden. Auch ein Plugin für Metasploit, einer Pentesting-Software, ist verfügbar. Mit diesem kann der Angriff automatisiert ausgeführt werden.
RID Hijacking
Castro nennt den Angriff passenderweise RID Hijacking. Die Methode ist persistent, die erweiterten Rechte bleiben auch nach einem Neustart des Systems erhalten. Zudem funktioniert sie auf allen gängigen Windows-Systemen von Windows XP bis Windows 10, aber auch von Windows Servern 2003 bis 2016. Selbst noch ältere Versionen von Windows sollen von der Lücke betroffen sein.
Der Sicherheitsforscher hat sich nach eigenen Angaben umgehend an Microsoft gewandt, als er die Lücke entdeckte. Auf seinen Hinweis habe er keinerlei Rückmeldung erhalten. Bisher ist kein Fall bekannt, in dem die Sicherheitslücke von Schadsoftware ausgenutzt wurden. Laut Castro haben sich mehrere Schadsoftware-Analysten ihm gegenüber geäußert, dass sie ein Ausnutzen der Lücke noch nicht beobachtet hätten. Andererseits ist die Lücke so trivial, dass Castro nicht davon ausgeht, dass sie noch nicht von anderen entdeckt oder ausgenutzt wurde. Dabei dürfte die Technik für Autoren von Schadsoftware durchaus interessant sein: Eine einfache, persistente Ausweitung der Rechte sowie das Ausführen von Software unter anderen Benutzern ist selten so einfach zu haben.
Quelle; golem
