Der Exploit-Entwickler SandboxEscaper hat nur eine Woche nach dem monatlichen Zyklus der Sicherheitsupdates von Microsoft im Hintergrund einen neuen Zero-Day-Exploit für das Windows-Betriebssystem eingestellt.

Dieser Exploit ist der fünfte in einer Reihe, die Ende August letzten Jahres begonnen hat. Es wird eine lokale Eskalation von Berechtigungen erreicht, wodurch ein begrenzter Benutzer die vollständige Kontrolle über Dateien erhält, die für Benutzer mit vollständigen Berechtigungen wie SYSTEM und TrustedInstaller reserviert sind.

Fehlerhafte Aufgabendateien

SandboxEscaper konzentrierte sich erneut auf das Dienstprogramm Task Scheduler und importierte damit Legacy-Aufgaben von anderen Systemen. In den Tagen von Windows XP waren Aufgaben im .JOB-Format und können immer noch neueren Versionen des Betriebssystems hinzugefügt werden.

Der Taskplaner importiert eine JOB-Datei mit beliebigen DACL-Kontrollrechten (Discretionary Access Control List). In Ermangelung einer DACL gewährt das System jedem Benutzer vollen Zugriff auf die Datei.

Der Forscher erklärt, dass der Fehler ausgenutzt werden kann, indem ältere Aufgabendateien in den Taskplaner unter Windows 10 importiert werden. Das Ausführen eines Befehls mit den ausführbaren Dateien 'schtasks.exe' und 'schedsvc.dll', die vom alten System kopiert wurden, führt zu einem Remote Procedure Call (RPC) ) zu "_SchRpcRegisterTask" – Eine Methode, die eine Aufgabe beim Server registriert und vom Taskplaner-Dienst verfügbar gemacht wird.

"Ich gehe davon aus, dass Sie, um diesen Fehler auszulösen, diese Funktion direkt aufrufen können, ohne die von Windows XP kopierte Datei schtasks.exe zu verwenden. Aber ich kann nicht gut rückgängig machen", sagte SandboxEscaper.

Sie fügte hinzu, dass das, was mit eingeschränkten Rechten beginnt, mit SYSTEM-Rechten endet, wenn eine bestimmte Funktion angetroffen wird. Um die Gültigkeit ihrer Arbeit zu beweisen, hat sie ein Video geteilt, das den PoC in Aktion unter Windows x86 zeigt.

Will Dormann, ein Schwachstellenanalyst bei CERT / CC, erläutert die Erklärungen, indem er erklärt, dass der Proof-of-Concept-Code von SandboxEscaper eine Schwachstelle in Windows 10 Task Scheduler ausnutzt, "durch die SetSecurityInfo () für eine importierte Legacy-Aufgabe festgelegt wird".

"Der Exploit ruft den Code einmal auf, löscht die Datei und ruft ihn dann erneut mit einem NTFS-Hardlink auf, der auf die Datei verweist, die mit SetSecurityInfo () überlastete Berechtigungen erhält", sagte der Sicherheitsexperte zu BleepingComputer.

Dormann hat den Exploit-Code getestet und bestätigt, dass er auf einem gepatchten Windows 10 x86-System mit einer Erfolgsrate von 100% ohne Änderungen funktioniert.

Um mit 64-Bit-Windows 10 arbeiten zu können, muss der erste Code neu kompiliert werden, aber das gleiche Ergebnis wurde aufgezeichnet, genau wie im Fall von Server 2016 und 2019.

Die einzigen Versionen des Betriebssystems, in denen Dormann den SandboxEscaper-Code nicht reproduzieren konnte, waren Windows 8 und 7.

Weitere Nulltage können kommen

Die Entwicklerin gab in ihrem Blog bekannt, dass sie weitere vier nicht bekannte Zero-Day-Bugs hat. Drei davon sind LPE-Schwachstellen (Local Privilege Escalation), die zur Codeausführung führen, und der vierte ist eine Sandbox-Flucht.

Oh und ich habe 4 weitere ungepatchte Bugs, von denen dieser stammt.
3 LPEs (alle, die Code erhalten, werden als System ausgeführt, nicht gelähmte Löschfehler oder was auch immer) und ein Sandbox-Escape.

Es scheint, dass sie sie an nicht-westliche Käufer verkaufen möchte und die LPE-Bugs für jeweils mindestens 60.000 eintauschen würde. Es ist unklar, ob die Währung für die potenzielle Transaktion US-Dollar oder Euro ist.

Wenn nicht-westliche Menschen LPEs kaufen möchten, lassen Sie es mich wissen. (Nur für Windows LPE, keine weiteren Nachforschungen angestellt oder daran interessiert). Wird nicht für weniger als 60.000 für eine LPE verkauft.

Ich schulde der Gesellschaft nichts. Ich will nur reich werden und dir im Westen den Mittelfinger geben.

Während dies mutige Behauptungen sind, hat SandboxEscaper eine Geschichte mit der Veröffentlichung von Zero-Day-Exploits.

Ihr erster Zero-Day-Exploit, der öffentlich veröffentlicht wurde, bezog sich auch auf einen Fehler in Task Scheduler. Mit der zweiten, Ende Oktober 2018 veröffentlichten Version konnten alle Dateien auf dem System gelöscht werden, unabhängig von den Berechtigungen des Benutzers, dem sie gehörten.

Vor Weihnachten folgte ein dritter Exploit, der es Angreifern ermöglichte, alle Dateien auf dem System mit Zugriff auf Systemebene zu lesen. Der vierte Exploit-Code kam einen Tag vor Jahresende und erlaubte das Überschreiben von Dateien mit beliebigen Daten.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.