[English]ACROS Security hat einen Micropatch für eine Local Privilege Escalation 0-day Schwachstelle im SysInternals-Tool PsExec für seinen 0patch-Agenten freigegeben. PsExec wird von Administratoren eingesetzt, um Aufgaben mit Systemprivilegien auszuführen.
Anzeige
Es dürfte sich kein Windows-Administrator finden, der PsExec nicht irgendwann einmal benutzt hat. Einige Leute wissen nicht einmal, dass sie PsExec verwenden. Denn PsExec ist in verschiedene anderes Tools integriert (zum Beispiel in Tools wie JetBrains TeamCity, ist bei der SolarWinds-Geschichte möglicherweise involviert).
Der Local Privilege Escalation 0-day in PsExec
Tenable Sicherheitsforscher David Wells hat letzten Monat eine Analyse einer lokalen Schwachstelle zur Privilegienerweiterung in PsExec veröffentlicht, ein leistungsstarkes Management-Tool von SysInternals (das von Microsoft übernommen wurde), das den Start von ausführbaren Dateien auf entfernten Computern ermöglicht.
Die Sicherheitslücke verwendet ein Named Pipe Hijacking (auch bekannt als Named Pipe Squatting). Wenn PsExec versucht, eine ausführbare Datei auf dem Remote-Computer zu starten, erstellt es dort mit PSEXESVC.EXE einen temporären Windows-Dienst, den es aus seinem Code extrahiert. Dieser Dienst wird unter dem lokalen Systembenutzer gestartet und verbindet sich mit seiner Named Pipe, um ihm Startanweisungen zu geben. PSEXESVC.EXE erstellt die Named Pipe mit Rechten, die es einem Nicht-Administrator oder Nicht-System-Benutzer nicht erlauben, sich mit ihr zu verbinden.
Der Angriff besteht nun darin, dass ein bösartiger lokaler Prozess eine Named Pipe mit demselben Namen erstellt, den PSEXESVC.EXE verwendet, allerdings bevor der Dienst sie erstellt. PSEXESVC.EXE, das als Lokales System ausgeführt wird, versucht anschließend, dieselbe Named Pipe zu erstellen, öffnet aber lediglich die vorhandene Pipe erneut und lässt deren Berechtigungen intakt. An diesem Punkt kann der Angreifer eine Verbindung zur Named Pipe herstellen und den Dienst dazu bringen, alles auszuführen.
Anzeige
David Wells hat ein Proof-of-Concept für diese Sicherheitslücke geliefert. Gefährdet sind grundsätzlich alle Windows-Rechner, auf dem Admins mit PsExec (oder Management-Tools, die PsExec verwenden) ausführbare Dateien remote starten und sich auf dem Rechner bereits ein Angreifer ohne Admin-Rechte befindet. Der Angriff ermöglicht eine Erhöhung der Privilegien.
Zum Zeitpunkt der Erstellung dieses Artikels ist kein offizieller Patch von Microsoft verfügbar. PsExec.exe und PsExec64.exe, die die anfällige PSEXESVC.EXE kapseln, sind Teil der PsTools-Suite und wurden zuletzt im Juni 2016 aktualisiert. Laut Tenable sind alle PsExec-Versionen von 1.72 (aus dem Jahr 2006) bis zur neuesten Version 2.2 (aus dem Jahr 2016) betroffen, was bedeutet, dass die Schwachstelle bereits seit etwa 14 Jahren besteht.
0patch-Fix verfügbar
Mitja Kolsek hat mich auf Twitter darauf hingewiesen, dass ACROS Security einen Micropatch für alle 0patch-Nutzer bereitstellt.
(0patch Fix LPE-Schwachstelle)
Mitja Kolsek hat in diesem Blog-Beitrag noch einige Details zu diesem Micropatch und zur Schwachstelle veröffentlicht. Dieser Micropatch ist für alle 0patch-Benutzer (also auch für die Free-Lizenz) ab sofort verfügbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet. Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen.
Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
Anzeige
Wer für sowas Third-Party-Tools benutzt, handelt doch generell verantwortungslos.
Welche Alternative gibts denn zu psexec? Oder meinst du den opatch?
Der war gut, Stephan.
In x Umgebungen hast Du Tools, die mit Agents arbeiten, um remote Dinge anzustoßen. Die Nutzer dieser sind alle verantwortungslos? Man soll also kein einziges Tool mehr nutzen, das remote Dinge tut, es sei denn, man hat es selbst geschrieben?
Nicht falsch verstehen: Ich habe es auch gerne sicher und psexec ist eine Push-Operation, die offene Ports braucht. Ich ziehe da auch clientseitigen Pull vor, aber deshalb gänzlich Tools dissen, die so arbeiten?
Bei 0patch poppt ständig rechts unten ein kleines Fenster auf.
DAS NERVT TOTAL.
:-(
Die ständigen Einblendungen zeigen eigentlich nur, dass das prozessbezogene Patchen funktioniert, nerven aber im Dauerbetrieb, das stimmt. Kann man aber abschalten. Dafür gibt es in der Console unter SETTINGS das Menü POP-UP-SETTINGS. Bei dir wird „Inform me about all patching events" ausgewählt sein …