0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec

win7[English]ACROS Security hat einen Micropatch für eine Local Privilege Escalation 0-day Schwachstelle im SysInternals-Tool PsExec für seinen 0patch-Agenten freigegeben. PsExec wird von Administratoren eingesetzt, um Aufgaben mit Systemprivilegien auszuführen.


Anzeige

Es dürfte sich kein Windows-Administrator finden, der PsExec nicht irgendwann einmal benutzt hat. Einige Leute wissen nicht einmal, dass sie PsExec verwenden. Denn PsExec ist in verschiedene anderes Tools integriert (zum Beispiel in Tools wie JetBrains TeamCity, ist bei der SolarWinds-Geschichte möglicherweise involviert).

Der Local Privilege Escalation 0-day in PsExec

Tenable Sicherheitsforscher David Wells hat letzten Monat eine Analyse einer lokalen Schwachstelle zur Privilegienerweiterung in PsExec veröffentlicht, ein leistungsstarkes Management-Tool von SysInternals (das von Microsoft übernommen wurde), das den Start von ausführbaren Dateien auf entfernten Computern ermöglicht.

Die Sicherheitslücke verwendet ein Named Pipe Hijacking (auch bekannt als Named Pipe Squatting). Wenn PsExec versucht, eine ausführbare Datei auf dem Remote-Computer zu starten, erstellt es dort mit PSEXESVC.EXE einen temporären Windows-Dienst, den es aus seinem Code extrahiert. Dieser Dienst wird unter dem lokalen Systembenutzer gestartet und verbindet sich mit seiner Named Pipe, um ihm Startanweisungen zu geben. PSEXESVC.EXE erstellt die Named Pipe mit Rechten, die es einem Nicht-Administrator oder Nicht-System-Benutzer nicht erlauben, sich mit ihr zu verbinden.

Der Angriff besteht nun darin, dass ein bösartiger lokaler Prozess eine Named Pipe mit demselben Namen erstellt, den PSEXESVC.EXE verwendet, allerdings bevor der Dienst sie erstellt. PSEXESVC.EXE, das als Lokales System ausgeführt wird, versucht anschließend, dieselbe Named Pipe zu erstellen, öffnet aber lediglich die vorhandene Pipe erneut und lässt deren Berechtigungen intakt. An diesem Punkt kann der Angreifer eine Verbindung zur Named Pipe herstellen und den Dienst dazu bringen, alles auszuführen.

David Wells hat ein Proof-of-Concept für diese Sicherheitslücke geliefert. Gefährdet sind grundsätzlich alle Windows-Rechner, auf dem Admins mit PsExec (oder Management-Tools, die PsExec verwenden) ausführbare Dateien remote starten und sich auf dem Rechner bereits ein Angreifer ohne Admin-Rechte befindet. Der Angriff ermöglicht eine Erhöhung der Privilegien.

Zum Zeitpunkt der Erstellung dieses Artikels ist kein offizieller Patch von Microsoft verfügbar. PsExec.exe und PsExec64.exe, die die anfällige PSEXESVC.EXE kapseln, sind Teil der PsTools-Suite und wurden zuletzt im Juni 2016 aktualisiert. Laut Tenable sind alle PsExec-Versionen von 1.72 (aus dem Jahr 2006) bis zur neuesten Version 2.2 (aus dem Jahr 2016) betroffen, was bedeutet, dass die Schwachstelle bereits seit etwa 14 Jahren besteht.

0patch-Fix verfügbar

Mitja Kolsek hat mich auf Twitter darauf hingewiesen, dass ACROS Security einen Micropatch für alle 0patch-Nutzer bereitstellt.

 PsExec 0-day LPE vulnerability
(0patch Fix LPE-Schwachstelle)


Anzeige

Mitja Kolsek hat in diesem Blog-Beitrag noch einige Details zu diesem Micropatch und zur Schwachstelle veröffentlicht. Dieser Micropatch ist für alle 0patch-Benutzer (also auch für die Free-Lizenz) ab sofort verfügbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet. Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen.

Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.

Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows 7 abgelegt und mit 0patch, Sicherheit, Windows 7 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu 0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec

  1. Stephan sagt:

    Wer für sowas Third-Party-Tools benutzt, handelt doch generell verantwortungslos.

    • 1ST1 sagt:

      Welche Alternative gibts denn zu psexec? Oder meinst du den opatch?

    • Bernhard Diener sagt:

      Der war gut, Stephan.

      In x Umgebungen hast Du Tools, die mit Agents arbeiten, um remote Dinge anzustoßen. Die Nutzer dieser sind alle verantwortungslos? Man soll also kein einziges Tool mehr nutzen, das remote Dinge tut, es sei denn, man hat es selbst geschrieben?

      Nicht falsch verstehen: Ich habe es auch gerne sicher und psexec ist eine Push-Operation, die offene Ports braucht. Ich ziehe da auch clientseitigen Pull vor, aber deshalb gänzlich Tools dissen, die so arbeiten?

  2. Bernard sagt:

    Bei 0patch poppt ständig rechts unten ein kleines Fenster auf.

    DAS NERVT TOTAL.

    :-(

    • Ralf Lindemann sagt:

      Die ständigen Einblendungen zeigen eigentlich nur, dass das prozessbezogene Patchen funktioniert, nerven aber im Dauerbetrieb, das stimmt. Kann man aber abschalten. Dafür gibt es in der Console unter SETTINGS das Menü POP-UP-SETTINGS. Bei dir wird „Inform me about all patching events“ ausgewählt sein …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.