Microsoft Windows 10 Zero-Day ALPC Task Scheduler

Derzeit gibtes eine Zero-Day Lücke im Aufgabenplaner / Taskplaner unter Windows 10. Diese ermögilcht es eingeschränkten Benutzern die Rechte bis auf Systemebene auszuweiten um dann mit erhöhten Rechten arbeiten zu können.

Wer ist davon betroffen?

Betroffen sind alle die Windows 10 64-Bit nutzen und Administratoren von Server 2016. Inzwischen wohl auch 32-Bit Systeme.

Update 07.09.2018 – inzwischen gabs wohl auch Portierungen auf Windows 7
Update 12.09.2018 – der Microsoft Windows Defender erkennt inzwischen Varianten des Angriffs

Wie funktioniert diese Zero-Day Lücke?

Der Angriff kann aktuell nur lokal erfolgen. D.h. man muss auf dem System selber entsprechende Maßnahmen ergreifen um seine Rechte auzuweiten. Angriffe gibt es bisher wohl wenige, jedoch wenn dann in der Form, dass per E-Mail Anhänge gesendet werden, die vom Empfänger geöffnet und somit ausgeführt werden müssen. Dadurch wird die Lücke ausgenutzt und weitere Schadsoftware ggf. nachgeladen, sodass ein Angreifer Remotezugang zum System erhalten kann, oder Informationen vom System abgreifen kann.

Konkret muss ein Hardlink (mklink /h) im Verzeichnis “C:\Windows\Tasks” erstellt werden.  Dies kann sogar als Gast erfolgen. Dieses Verzeichnis ist eine Altlast aus Windows XP Zeiten. Unter Windows 10 liegt das Verzeichnis für die Aufgabenplanung unter “C:\Windows\System32\Tasks”. Jedoch ist es so, dass Windows in dem alten Verzeichnis nach Einträgen schaut, diese ausführt und dabei die Prüfung der korrekten Berechtigungen des angemeldeten Benutzer “übersieht”. Der Link kann dann zu einer vom Benutzer ausführbaren Datei erfolgen, die dann z.B. erweiterte Rechte in anderen Verzeichnissen setzt.

Was ist die Lösung?

Zu erwähnen ist, dass Microsoft an einer Lösung arbeitet und vermutlich zum nächsten Patchday veröffentlicht. Zu möglichen Lösungen:

  1. Wer den Aufgabenplaner nicht nutzt, auch nicht durch Software, kann den Dienst stoppen und deaktiveren. Achtung, Updates wie von Adobe oder Microsoft, laufen dann nciht.
  2. Der beste Weg ist es aktuell wohl entsprechende Rechte auf "C:\Windows\Tasks" zu setzen, sodass ein ablegen von Dateien generell nicht mehr möglich ist (siehe dazu nachfolgenden Inhalt):
    icacls c:\windows\tasks /remove:g "Authenticated Users"
    icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

Informationen aus dem Vulnerability Note VU#906424

Overview

Microsoft Windows task scheduler contains a local privilege escalation vulnerability in the Advanced Local Procedure Call (ALPC) interface, which can allow a local user to obtain SYSTEM privileges.

Description

The Microsoft Windows task scheduler SchRpcSetSecurity API contains a vulnerability in the handling of ALPC, which can allow an authenticated user to overwrite the contents of a file that should be protected by filesystem ACLs. This can be leveraged to gain SYSTEM privileges. We have confirmed that the public exploit code works on 64-bit Windows 10 and Windows Server 2016 systems. We have also confirmed compatibility with 32-bit Windows 10 with minor modifications to the public exploit code. Compatibility with other Windows versions is possible with further modifications.

This vulnerability is being exploited in the wild.

Impact

An authenticated local user may be able to gain elevated (SYSTEM) privileges.
Solution
The CERT/CC is currently unaware of a practical solution to this problem. Please consider the following workaround:
Deploy Microsoft Sysmon Detection Rules

Kevin Beaumont has provided guidance for creating rules to detect exploitation of this vulnerability.

Set ACLs on the C:\Windows\Tasks directory

Karsten Nilsen has provided a mitigation for this vulnerability. Caution: This mitigation has not been approved by Microsoft. However, in our testing it does block exploits for this vulnerability. It also appears to let scheduled tasks to continue to run, and users can continue to create new scheduled tasks as necessary. However, this change will reportedly break things created by the legacy task scheduler interface. This can include things like SCCM and the associated SCEP updates. Please ensure that you have tested this mitigation to ensure that it does not cause unacceptable consequences in your environment.

To apply this mitigation, run the following commands in an elevated-privilege prompt,:

icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

Note that when a fix is made available for this vulnerability, these changes should be undone. This can be done by executing the following commands:

icacls c:\windows\tasks /remove:d system
icacls c:\windows\tasks /grant:r "Authenticated Users":(RX,WD)

Quelle: https://www.kb.cert.org/vuls/id/906424

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.