Neue Windows 0-day-Schwachstelle (20.12.2018)

In Windows 10 gibt es eine neue 0-day Schwachstelle, über die man lesend auf Dateien zugreifen kann, ohne die Berechtigungen dazu zu haben.


Anzeige

Ein Hacker unter dem Pseudonym SandboxEscaper hat diese 0-day-Schwachstelle mal wieder offen gelegt, ohne Microsoft zu informieren. Das ist nicht das erste Mal, und es schaut wieder aus, als ob er versucht hat, diese Information vorher zu verkaufen.

Laut Bleeping Computer betrifft die Schwachstelle die ReadFile.exe, über die sich lesend auf Daten an bestimmten Orten zugreifen lässt. Der Fehler liegt in der Funktion "MsiAdvertiseProduct", die Microsoft benutzt, um "ein Werbe-Skript zu generieren oder ein Produkt auf dem Computer zu bewerben" und dass es "dem Installer ermöglicht, in ein Skript die Registrierung und die Verknüpfungsinformationen zu schreiben, die für die Zuweisung oder Veröffentlichung eines Produkts verwendet werden". Also mal wieder eine Funktion, die im Grunde niemand außer Microsoft braucht.

Der Aufruf dieser Funktion führt zu einer beliebigen Dateikopie durch den Installer-Dienst, die vom Angreifer gesteuert werden kann. SandboxEscaper erklärt, dass trotz einer Überprüfung der Schutz über eine gewisse Zeit, in der eine Race Condition auftritt, umgangen werden kann.

Im Endeffekt besteht dadurch die Möglichkeit, dass sich beliebige Dateien mit SYSTEM-Rechten kopieren lassen. Dabei ist das Ziel jederzeit lesbar. Das folgende Video zeigt den Angriff.

(Quelle: YouTube)

Der einfachste Weg, den Fehler zu bestätigen, ist laut SandboxEscapter, zwei lokale Konten zu erstellen und die desktop.ini des anderen Kontos zu lesen. Die Gültigkeit des PoC wurde heute von Mitja Kolsek, CEO von Acros Security und Gründer der 0Patch-Plattform bestätigt.

Die Geschichte könnte noch ein Nachspiel für SandboxEscaper haben, nachdem dieser nun die dritte Schwachstelle veröffentlichte. Seit der Veröffentlichung des ersten Windows 0-day Exploits hat SandboxEscaper den Zugang zum GitHub-Konto verloren. Dort veröffentlichte SandboxEscaper Fehlerdetails und Proof-of-Concept-Code. In einer Nachricht im Blog macht SandboxEscaper Microsoft direkt für den Verlust des GitHub-Zugangs verantwortlich.


Anzeige

SandboxEscaper weckte auch die Aufmerksamkeit des FBI. Es gab eine Benachrichtigung von Google, dass eine Anordnung des FBI vorliegt, Informationen über das Google-Konto von SandboxEscaper zu übergeben. Ob das mit der Veröffentlichung der 0-day-Exploits zu tun hat, oder mit Tweets über Trump zusammen hängt, ist unklar.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Neue Windows 0-day-Schwachstelle (20.12.2018)

  1. Bernhard Diener sagt:

    "Also mal wieder eine Funktion, die im Grunde niemand außer Microsoft braucht." – Nicht wirklich. MSI publishing/assigning befähigt non-Admins, sich selbst MSI-Paket-basierte Software bei Bedarf zu installieren (siehe https://www.advancedinstaller.com/user-guide/tutorial-gpo.html 4. und 5.). Eine sinnvolle Einrichtung für einige Szenarien in Unternehmen. Gibt es bereits seit Windows 2000.

  2. Windoof-User sagt:

    Mit Hinblick darauf, dass Microsoft 1998 ein Patent auf die "MsiAdvertiseProduct" API angemeldet hat, fragt man sich, wie oft diese Schwachstelle schon ausgenutzt wurde.

  3. Anonymous sagt:

    Betrifft das nicht auch dann Windows 7 / 8.1 oder übersehe ich was?

  4. ralf sagt:

    zu "Laut Bleeping Computer betrifft die Schwachstelle die ReadFile.exe, über die sich lesend auf Daten an bestimmten Orten zugreifen lässt":

    die "readfile.exe" ist nur ein proof-of-concept.

  5. wufuc_MaD sagt:

    ja, die .csv's sollten von mehr leuten gesichtet werden. die geschichte wiederholt sich bereits:

    "This update will be downloaded and installed automatically…" schreiben sie…

    "After you apply this update, the network interface controller may stop working on some client software configurations. This occurs because of an issue related to a missing file, oem.inf. The exact problematic configurations are currently unknown." editierten sie…

    machine.inf? no_drv ?! außer "workaround" wird es nichts mehr geben für die "betroffenen". doch es gibt geschenke, überraschungen, mit ab sofort monatlich quantitativ steigendem schwierigkeitsgrad. auch die isolierung jedes einzelnen nutzers wird improvements erfahren, dank den massiven fortschritten in gleichnamigem programm. subjektive erfahrungen von wendungen in ungünstige rahmenbedingungen sind die beste voraussetzung um schneller gewinnbringende entscheidungen zu treffen.

    nr1: nicht "This update will be downloaded and installed automatically" sondern!
    -> "After you installed the August Preview of Quality Rollup or September 11, 2018 .NET Framework update" !!

    nr2: dass die übersichtsseite zur nt6.1 geschichte zum letzten mal am 11. september aktualisiert wurde (beende den satz sinnvoll!)

    nr3: "Blocking the availability of a Windows 10 feature update to devices we know will experience issues is a key aspect of our controlled rollout approach to provide users with a great update experience. We decide what to block based on user impact from closely monitoring feedback and device diagnostics. If we detect that your device may have an issue, such as an application incompatibility, we will not install the update until that issue is resolved, even if you "Check for updates". We do this so that you avoid encountering any known problems."

    nr4: der monetäre einfluss auf die mixed experience erhält ein upgrade. "Cumulative Updates for .NET Framework are new starting with Windows 10 October Update (version 1809) and Windows Server 2019."

    nr5: "November 13 marks the revised start of the servicing timeline for the Semi-Annual Channel ("Targeted") release for Windows 10, version 1809, Windows Server 2019, and Windows Server, version 1809." im mai (bei amd geräten möglicherweise früher) 2019 ist sense!

    und nr6: "You should never compromise your personal integrity or the company's reputation and trust in exchange for any short-term gain" zitat: nadella

    plant jemand nach dem fest der us-firma kostenpflichtige lts-releases abzukaufen?! zu vergessen was das ist könnte neuartige experience ermöglichen!

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.