Neues zur Windows ALPC Zero-Day-Schwachstelle

Es gibt einige Neuerungen zu der im Windows Task-Planner (Aufgabenplaner) existierenden, und bisher ungepatchten Schwachstelle. Der Defender erkennt bestimmte Angriffe und es gibt einen 0patch-Fix.


Anzeige

Worum geht es?

Vor einigen Tagen hatte ich ja über die ALPC Zero-Day-Schwachstelle im Windows Task-Planner (Aufgabenplaner) berichtet (siehe meinen Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt). Ein Hacker hatte diese Schwachstelle samt einem Proof of Concept (PoC) veröffentlich. Mit dem im PoC bereitgestellten Inventar kann man unter Windows eine Rechteausweitung auf System-Berechtigungen erreichen.

Sicherheitsforscher Will Dormann hat in einem Tweet ein Beispiel für eine solchen Angriff gepostet.

Mir ist bei einem kurzen Test vor einigen Tagen diese Rechteausweitung aber nicht gelungen (vermutlich ist mir ein Fehler unterlaufen). Mir liegen jedoch Bestätigungen, auch deutscher Nutzer, vor, dass das Ganze auf diversen Systemen funktioniert (die Rückmeldung war ‘auf einem System funktioniert der Exploit, auf einem anderen nicht’).

Das Proof of Concept (PoC) war vom Entdecker der Schwachstelle nur für 64-Bit-Versionen von Windows bereitgestellt worden. Will Dormann hat sich den Code angesehen und konnte den Exploit mit wenigen Änderungen auch für die 32-Bit-Versionen von Windows anpassen.

Meine Hoffnung, dass Microsoft vielleicht schon letzte Woche einen Fix bereitstellt, hat sich nicht erfüllt. In den Blogbeiträgen Windows 7/8.1 Preview Rollup Updates KB4343894, KB4343891 (30. August 2018) und Windows 10: Update KB4346783, KB4343893, KB4343889, KB4343884 (30.8.2018) ist mir jedenfalls nichts dergleichen aufgefallen. Da heißt es, bis zum 11. September 2018 warten, dann ist der nächste reguläre Patchday.

Bisher sind auch noch keine Angriffe bekannt geworden. Wer sich aber absichern möchte, könnte Workarounds ins Auge fallen. Einen Workaround hatte ich bereits im Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt genannt: Die Schreibrechte auf den Ordner c:\windows\system32\tasks entziehen (siehe auch folgenden Tweet).


Anzeige

0patch stellt einen 0-Day-Fix bereit

Der Anbieter 0patch entwickelt 0-Day-Patches, um von den Herstellern einer Software (noch) nicht geschlossene Schwachstellen zu fixen. Das hatte ich ja schon in mehreren Blog-Beiträgen (hier, hier, hier) in anderem Zusammenhang berichtet. In meinem Blog-Beitrag Neue Windows ALPC Zero-Day-Schwachstelle entdeckt gab es bereits den Hinweis, dass 0patch bereits einen 0-Day-Fix testet.

Jetzt hat mich der Entwickler Mitja Kolsek informiert, dass dieser Fix in der Endfassung zur Verfügung steht.

I’d like to inform you that our company has created a micropatch for the „0day“ vulnerability in Windows Task Scheduler that was published on Twitter this Monday, and has no official patch available.

0patch by ACROS Security writes micropatches for critical security flaws which users can’t fix otherwise for some reason or another (official patch not yet available, unsupported product, unresponsive vendor etc.)

If you’re interested in more details, please refer to our blog post on this issue.

Wer also Bedarf an einem sofortigen Fix hat, kann bei denen also fündig werden.

Windows Defender erkennt bestimmte Angriffe

Auch Microsoft hat wohl intern reagiert. An einem Update, welches die ALPC-Schnittstelle absichert, arbeitet man wohl noch. Aber das Windows Defender-Team ist hingegangen und hat dem Defender eine Erkennung auf bestimmte Angriffsmethoden spendiert. Dies entnehme ich dem Tweet von Will Dormann.

Wenigstens etwas, was Microsoft unternimmt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.