Hochgradiger Windows-UAC-Fehler ermöglicht die Privilegieneskalation

Weitere Einzelheiten des Fehlers, der kürzlich von Microsoft gepatcht wurde, wurden am Dienstag von Forschern bekannt gegeben.

Die Forscher enthüllten Details einer hochgradigen Microsoft-Windows-Schwachstelle, die Angreifern erhöhte Privilegien verleihen könnte - was ihnen schließlich erlaubt, Programme zu installieren und Daten anzuzeigen, zu ändern oder zu löschen.

Der Fehler stammt von der Benutzerkontensteuerung (User Account Control, UAC), einer Sicherheitsfunktion von Windows innerhalb des sicheren Desktops, die unbefugte Änderungen am Betriebssystem verhindern hilft. "Bei voll aktivierter UAC laufen interaktive Administratoren normalerweise mit den geringsten Benutzerrechten, aber sie können sich selbst zur Durchführung von Verwaltungsaufgaben aufrüsten, indem sie mit der Zustimmungs-Benutzeroberfläche explizit ihre Zustimmung geben", erklärte Microsoft in einem Überblick über die Funktion. "Zu solchen administrativen Aufgaben gehören die Installation von Software und Treibern, die Änderung systemweiter Einstellungen, die Anzeige oder Änderung anderer Benutzerkonten und die Ausführung von Verwaltungstools.

Durch die Interaktion mit der Benutzeroberfläche von UAC kann ein unprivilegierter Angreifer den Fehler nutzen, um einen hochprivilegierten Webbrowser auf dem normalen Desktop zu starten - und damit die Berechtigung zur Installation von Code und anderen bösartigen Aktivitäten zu erhalten.

"Diese Schwachstelle ermöglicht es lokalen Angreifern, die Privilegien auf betroffenen Installationen von Microsoft Windows zu erhöhen", sagten Forscher der Zero Day Initiative (ZDI) in einer detaillierten Analyse der Schwachstelle am Dienstag. "Ein Angreifer muss zunächst die Möglichkeit erhalten, als niedrig privilegierter Benutzer auf dem Zielsystem auf einen interaktiven Desktop zuzugreifen, um diese Schwachstelle auszunutzen.

Der Fehler besteht insbesondere deshalb, weil der UAC-Windows-Zertifikat-Dialog, der sowohl die Zertifikatsinformationen als auch eine Microsoft-spezifische Objektkennung (OID) enthält, die Benutzerrechte nicht ordnungsgemäß durchsetzt. Um ihn auszunutzen, könnte ein unprivilegierter Angreifer zunächst eine von Microsoft signierte ausführbare Datei von einer vom Angreifer kontrollierten Website herunterladen. Dann könnte er versuchen, die ausführbare Datei als Administrator auszuführen - d.h. die UAC öffnet sich und fordert ihn auf, ein Administratorkennwort einzugeben.

Wenn sie auf die Schaltfläche "Details anzeigen" im UAC-Feld klicken, können Angreifer die OID im Windows-Zertifikat-Dialogfeld anzeigen lassen, die auf der Registerkarte "Details" als "SpcSpAgencyInfo" angezeigt wird - worin das Problem besteht.

"Die Semantik dieser OID ist schlecht dokumentiert", sagte Simon Zuckerbraun vom ZDI. "Es scheint jedoch, dass der Zertifikatsdialog den Wert dieser OID parst, und wenn er gültige und richtig formatierte Daten findet, wird er sie verwenden, um das Feld "Issued by" auf der Registerkarte "General" als Hyperlink darzustellen. Und wenn es um die UAC-Version des Zertifikatsdialogs geht, hat Microsoft vergessen, diesen Hyperlink zu deaktivieren.

Das bedeutet, dass ein Angreifer auf den Hyperlink klicken könnte, um einen Browser zu starten, der als NT AUTHORITY\SYSTEM (ein Browser mit Administratorrechten) ausgeführt wird - und damit die Tür für die Ausführung von Code, die Installation bösartiger Programme und mehr öffnet.

"Sobald der Benutzer Zugriff auf einen Browser hat, der als SYSTEM läuft, ist er reif für Missbrauch. Der Benutzer kann den Browser so beeinflussen, dass er eine beliebige Anzahl von Aktionen ausführt, die dann als SYSTEM ausgeführt werden", so Zuckerbraun gegenüber Threatpost. "Der Endeffekt ist, dass der Benutzer maximale Privilegien auf dem jeweiligen angegriffenen Windows-Rechner erhält. Nehmen wir zum Beispiel an, dass ein Hacker über einen Remote-Desktop Zugriff auf einen Windows-Rechner erhält, aber nur Gastzugang hat. Durch diese Schwachstelle könnte der Angreifer maximalen Zugriff auf den angegriffenen Rechner erhalten.

"Ziemlich seltsam, obwohl der Browser als SYSTEM gestartet wird, wird er dennoch auf dem normalen Desktop im Gegensatz zum sicheren Desktop angezeigt", so Zuckerbraun. "Daher wird er erst sichtbar, wenn der Benutzer alle UAC-Dialoge verlassen hat. Aus der Sicht des Angreifers ist dies eine ideale Kombination".

Die Schwachstelle (CVE-2019-1388) hat einen CVSS-Wert von 7,8 von 10,0 und ist damit hochgradig gefährlich. Microsoft hat die Schwachstelle im Rahmen des letzte Woche veröffentlichten Patch-Dienstag-Updates gepatcht.

"In ihrem Bericht geben sie an, dass der Fehler dadurch behoben wurde, dass 'sichergestellt wurde, dass der Windows-Zertifikat-Dialog die Benutzerrechte ordnungsgemäß durchsetzt', sagte Zuckerbraun. "Sie geben jedoch auch einen Exploit-Index von 2 an, was darauf hinweist, dass eine Ausnutzung weniger wahrscheinlich ist. Unser Video deutet auf etwas anderes hin."

Der Fehler wurde von Eduardo Braun Prado in Zusammenarbeit mit der Zero Day Initiative von Trend Micro entdeckt. Eine vollständige Liste der betroffenen Windows-Version finden Sie hier.

Anzeige

Anzeige