Windows 10: Neue 0-day-Schwachstellen mit PoC

Der anonyme Hacker SandboxEscaper hat am 21.5. eine neue Schwachstelle im Windows 10 Task-Scheduler (Aufgabenplanung) entdeckt und gleich ein Proof of Concept (PoC) auf GitHub mitgeliefert. Über den Exploit kann eine Ausweitung von Privilegien (Privilege Escalation) erfolgen. Anschließend veröffentlichte er zwei weitere Schwachstellen.


Anzeige

Blog-Leser 1ST1 hatte bereits in diesem Kommentar auf das Thema hingewiesen (danke dafür) und mir war es auch schon unter die Augen gekommen. Ich bin aber bisher nicht dazu gekommen, das Thema aufzubereiten.

Hintergrund zum Hacker

Der anonyme Hacker SandboxEscaper hat bereits mehrere Schwachstellen im Windows Task-Scheduler aufgedeckt (siehe Artikelliste am Textende). Der Hacker hat die Angewohnheit, Microsoft nicht vorab über diese Schwachstellen zu informieren.

SandboxEscaper
(Zum Vergrößern klicken)

Im Verlauf der letzten Monate deutet es sich an, dass die Person hinter dem Pseudonym SandboxEscaper wohl mentale Probleme haben könnte. Am 21.5. kündigte der Hacker an, dass vier neue Sicherheitslücken zu veröffentlichen. Die erste Schwachstelle und ein Proof of Concept (PoC) hat der Hacker am 21. Mai 2019 veröffentlicht. Weitere Veröffentlichungen wurden dann angekündigt – und SandboxEscaper versucht, die Exploits für 60.000 $ an ‘nicht westliche Käufer’ zu verscherbeln.

Local Privileg Escalation-Schwachstelle im Aufgabenplaner

Auf GitHub veröffentlichte SandboxEscaper ein Proof of Concept (PoC), mit dem man in der Aufgabenplanung eine lokale Privilegien-Erhöhung erreichen kann. Ein Video, in dem die Ausweitung von Privilegien demonstriert, wird in folgendem Tweet verlinkt.

Der Exploit, der am Dienstag (21.5) auf Twitter veröffentlicht wurde, nutzt die Tatsache, dass alte Windows XP-Aufgaben im .JOB-Format über den Taskplaner in Windows 10 importiert werden können. Ein Angreifter kann einen Befehl mit den ausführbaren Dateien schtasks.exe und schedsvc.dll ausführen, die vom alten System in Windows 10 kopiert wurden. Dies führt zu einem Aufruf eines Remote Procedure Call (RPC) namens “SchRpcRegisterTask”, der vom Task Scheduler Dienst bereitgestellt wird. Kaspersky hat das in diesem Blog-Beitrag aufbereitet.


Werbung

Die Leute von 0patch haben die Funktionsfähigkeit des 0-day-Exploits unter einem vollständig gepatchten Windows 10-System bestätigt. Mit dem Exploit werden die Einträge in der Discretionary Access Control List (DACL) verändert, so dass ein Angreifer diese nach eigenem Gusto modifizieren könnte. Auch der Sicherheitsforscher Will Dormann bestätigt auf Twitter die Schwachstelle.

Wie 1ST1 in diesem Kommentar anmerkt braucht ein Angreifer auf einem lokalen System schon die Berechtigungen, eine Aufgabe im Task-Scheduler zu importieren oder auf den betreffenden Ordnern abzulegen. Das ist aber nur lokalen Administratoren möglich. The Hacker News schreibt hier, dass die betreffenden internen Aufrufe Aufgaben über die  SchRpcRegisterTask-Methode registrieren können, ohne dass die Privilegien entsprechend geprüft würden. Der Witz am Exploit ist vor allem, dass die Privilegienausweitung auf SYSTEM und TrustedInstaller möglich ist, Rechte, die auch lokale Administratoren nicht haben.

Die zweite Geschichte, die ich in der Diskussion auf Twitter herauslese ist, dass der Exploit nur unter Windows 10 (sowie Windows Server 2016/2019) bis zur aktuellen Version 1903 (allerdings sowohl 32 als auch 64 Bit) funktioniert. Windows 7 und Windows 8.x sowie die Server-Pendants sind nicht angreifbar.

Bei Windows 10 scheint Microsoft wohl intern auch schon an dieser Baustelle aktiv zu sein. In den Windows 10 Insider Previews des 20H1-Entwicklungszweigs funktioniert der Exploit gemäß diesem Tweet in der Build 18898.1000 nicht. Der Betreffende vermutet, dass Microsoft zwischen den Builds 18329 (Windows 10 V1903 und dem 20H1-Entwicklungszweig mit Build 18898 etwas geändert habe. Zudem ist, nach bisherigem Wissen, kein Remote-Angriff möglich.

Zwei weitere Exploits nachgeschoben

Arstechnica hat die Geschichte weiter verfolgt – und auch The Hacker News hat es angesprochen. Inzwischen hat SandboxEscaper zwei weitere Schwachstellen in Windows veröffentlicht.

Sandbox-Ausbruch im IE per Datei-Dialog

Am Mittwoch wurde vom Hacker eine Schwachstelle veröffentlicht, die den Ausbruch aus einer Sandbox eines Browsers (der IE 11 wurde da adressiert) ermöglicht. Der Exploit ermöglicht es Angreifern ein JavaScript im Explorer 11 auszuführen, welches mit einem höheren Systemzugriff ausgeführt wird, als es normalerweise von der Browser-Sandbox erlaubt wird.

Standardmäßig sollten Scripte vom Browser nur mit einer niedrigen Vertrauensstufe (Low Integrity Level, IL) ausgeführt werden. Durch den Exploit erhalten die Scripte aber eine mittlere Vertrauenstufe. Der Exploit soll, laut den Aussagen des Hackers, in allen Sandboxen funktionieren, die einen Datei-Dialog zur Auswahl von Daten per Moniker zulassen.

Schwachstelle in der Fehlerberichterstattung WER

Ein weiterer, vor wenigen Stunden, veröffentlichter Exploit nutzt einen Fehler in der Windows-Fehlerberichtserstattung (WER, Windows Error Reporting) zur Erhöhung der lokalen Privilegien aus. Der Hacker bezeichnet das als ‘Windows Error Reporting Arbitrary DACL write’. Durch diese Schwachstelle können Angreifer damit Dateien ändern, die normalerweise nicht zugänglich sind. Dazu verwandelt der Exploit den Ordner:

c:\\programdata\\microsoft\windows\wer\\\\reportqueue

in einen Junction-Point und speichert in dem Ordner eine .wer-Datei und eine weitere Datei mit dem Namen test. Dann wird der WER Reporting Queue Task ausgelöst. Wenn der Dienst versucht, eine DACL zu schreiben, löscht der Exploit die Datei “test”, nachdem der Task GetSecurityFile darauf aufgerufen hat, und ersetzt die Datei durch einen Hardlink, auf dem der Dienst SetSecurityFile aufrufen wird.

Der WER-Dienst wird versuchen, beide Dateien zu löschen und führt auch umfangreiche Prüfungen durch. Es wird eine DACL in beide Dateien geschrieben, um sicherzustellen, dass das SYSTEM Löschrechte besitzt. Dann schreibt er die Rechte mit SetFileSecurity in die Datei zurück. Dabei kann ein Angreifer versuchen, in diesen Ablauf einzugreifen und das Ganze zu manipulieren. Das Ganze läuft auf eine Race Condition hinaus.

Diese Schwachstelle scheint nicht remote ausnutzbar zu sein – und es gibt, wegen der Race Condition, Einschränkungen. Der Hacker schreibt:

Es kann bis zu 15 Minuten dauern, bis der Fehler ausgelöst wird. Wenn es zu lange dauert, kann das Schließen des Programms, das Bereinigen des Reportarchiv-Ordners in den Programmdaten (es kann das Timing durcheinander bringen, wenn es zu viele Berichte gibt, weil unser poc zu lange läuft), das Löschen des c:\\blah-Ordners… etc. helfen.

Es scheint wohl nur ein kleines Zeitfenster mit dem richtigen Timing zu geben, um diese Schwachstelle auszunutzen. Möglicherweise gibt es Möglichkeiten, den Exploit zuverlässiger zu gestalten – SandboxEscaper ist aber an dieser Aufgabe gescheitert. Denn das Timing hängt auch vom Hardware-Setup ab.

Unter dem Strich ist auch diese Schwachstelle, nach aktuellem Wissen, wohl eher nur theoretisch auszunutzen. Microsoft könnte mit den Patches zu CVE-2019-0863 die Schwachstelle zudem im Mai 2019 geschlossen haben.

Ergänzung: Installer-Bypass-Lücke

Heise berichtet in diesem Artikel über zusätzliche Schwachstellen wie Installer-Bypass, wo die Ausnutzung noch schwieriger bis unmöglich sei.

Meine Einschätzung: Ein nettes Thema, worüber man schreiben kann – aber nichts, was jetzt dazu führt, dass alle Welt ihre Windows 10-Systeme nicht mehr verwenden kann, weil plötzlich Angriffe drohen. Auch bei früheren, von SandboxEscapter veröffentlichten Exploits gab es erinnerungsmäßig nur einen Fall, wo Malware das auszunutzen versuchte (siehe Linkliste).

Ähnliche Artikel:
Windows 10 Zero-Day-Exploit in Microsoft Data Sharing
Neue Windows 0-day-Schwachstelle (20.12.2018)
Windows 10: 0-Day Bug ermöglicht Dateien zu überschreiben
Windows 0-Day File-Write-Bug bekommt temporären Fix
Windows ALPC-Schwachstelle (CVE-2018-8440) in Exploit-Kit
Windows ALPC 0-day-Lücke wird durch Malware ausgenutzt
Neue Windows ALPC Zero-Day-Schwachstelle entdeckt


Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Responses to Windows 10: Neue 0-day-Schwachstellen mit PoC

  1. 1ST1 sagt:

    Danke für die Aufbereitung, damit kann man die (nichtsosehr) Brisanz der Exploits besser abschätzen, außer die IE11 Sache, da sehe ich eine etwas größere Gefahr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.