Besonders gefährdet sind 32-Bit-Terminalserver, auf die sich normale Benutzer intern oder über das Internet anmelden können. Sie werden meist von vielen Anwendern genutzt, häufig auch von Top-Managern, die Zugang zu vertraulichen Daten haben und diese möglicherweise dort lokal abspeichern.
Mit einer guten Überwachung ist ein Angriff mit dem VDM-Exploit leicht zu entdecken. Ein Administrator wird schnell Verdacht schöpfen, wenn Prozesse wie winword.exe, outlook.exe oder explorer.exe unter dem System-Account laufen.
Generell bieten sich für einen Angreifer zwei Strategien an. Eine davon ist, sein eigenes Benutzerkonto in die lokale Administratorengruppe aufzunehmen. Das lässt sich beispielsweise aus der Konsole mit dem Befehl net localgroup administrators <[Domainname]Benutzername> /add erreichen.
Wenn der Terminalserver kein Domaincontroller ist, wird das nur in der lokalen SAM-Datenbank gespeichert. In der Active-Directory-Datenbank ist nichts Verdächtiges zu finden. Danach kann der Angreifer die System-Konsole wieder schließen und unter seinem Account mit Administratorrechten arbeiten. Der Angreifer kann darauf hoffen, dass die wenigen Sekunden, in denen cmd.exe unter dem System-Account lief, nicht entdeckt werden.
Für den Fall, dass die lokale Administratorgruppe regelmäßig auf verdächtige Neuzugänge überprüft wird, bietet sich die zweite Strategie an, vom System-Account aus direkt eine fremde Identität anzunehmen. Das ist ohne eine Prüfung von Credentials möglich, etwa Kennwort, Fingerabdruck, oder Smartcard.
Neueste Kommentare
7 Kommentare zu Adminrechte per Mausklick: gefährliche Lücke in Windows
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Download?
Ich habe zu Testzwecken versucht die exe/dll-Dateien von verschiedenen Sites runterzuladen. GData sagt: niet! Es braucht offensichtlich ein beachtliches Mass krimineller Energie um diese Lücke auszunützen und ich denke diese Energie würde auch unixoide 32-bit Systeme problemlos aushebeln.
Grundsätzlich kein Risiko für Privat-User,
weil nur ein am PC angemeldeter User das Programm starten und sich höhere Rechte verschaffen kann. Allerdings kann ein User im Firmennetzwerk sich damit u.U. Zugang zu für ihn gesperrten Informationen verschaffen oder Schlimmstenfalls auch gezielt Schaden anrichten.
Artikel von Herrn Hochstaetter
Es waere wuenschenswert, wenn im Artikel zu Beginn explizit darauf hingewiesen wuerde, dass jeder Nutzer zu Hause von der Windows-Luecke NICHT betroffen ist.
Der Hacker muss lokal angemeldet sein, wenn er die Luecke ausnutzen will, wie man spaeter erfaehrt.
Alle anderen muessten die Bootpartition verschluesseln, um ganz sicher zu sein, da sonst die Registry mittels CD wieder manipuliert werden kann.
Tom
Wer booten vom Rechner zuläßt, geht immer ein Sicherheitsrisiko ein.
Das man mit einem Bootmedium alle Dateien auf einem Rechner auslesen kann, ist nicht neu. Insofern liegt hierin auch keine neue Bedrohung.
Wer seine Rechner absichern will kann das jedoch im Bios verhindern und somit das auslesen der lokalen Dateien zumindest erschweren. Zugleich verhindert er auch Änderungen in der Regestry.
Thomas Hoffmann
AW: Wer booten vom Rechner zuläßt, geht immer ein Sicherheitsrisiko ein.
Was hat das Problem mit Booten zu tun? Das ist doch gar nicht nötig.
Netzwerkzugriff geht ja nicht.
Da ein Zugriff aufs Netzwerk über diese Exploit nicht möglich ist, muss man vor der lokalen Kiste sitzen und sich wohl zumindest als GUEST anmelden. Da nützt es schon, den PC mit BIOS Passwort zu schützen, vorausgesetzt man vergisst das herunterfahren nicht.
Biometrische Kennungen kann das ebenfalls nicht aushebeln.
AW: Netzwerkzugriff geht ja nicht.
Das schon, nur ist das in meinen Augen ein paralleles Problem. Die hier geschilderte Problematik funktioniert auch mit BIOS Paßtwort und Bootmöglichkeit. Und in größeren Netzwerken kann man sich auch über das Netz verbreiten, weil größere Netzwerke i.d.R. einige Rechner aufweisen, auf denen sich jeder anmelden kann mit seinem Account.