Google-Forscher entdeckt Privilegienerweiterungsschwachstelle in Windows 8.1

Google-Forscher entdeckt Privilegienerweiterungsfehler in Windows 8.1, 32/64-Bit-Versionen.

Ein Google-Forscher namens Forshaw hat einen Privilegienerweiterungsfehler in Windows 8.1 entdeckt. Der Fehler in ahcache.sys/NtApphelpCacheControl trat auf, nachdem Windows 8 auf Windows 8.1 aktualisiert wurde, und wurde von Forshaw im September 2014 gefunden. Er informierte die Google Security Research Mailing-Liste am 30. September über den Fehler, und nach der 90-tägigen Offenlegungsfrist wurde die Schwachstelle und der Proof of Concept gestern veröffentlicht.

Das Google-Forschungsteam kontaktierte Microsoft am selben Tag, an dem der Fehler entdeckt wurde, aber es gibt keine Hinweise darauf, dass in dieser Angelegenheit Maßnahmen ergriffen wurden. Forshaw erklärte auch in der Mailing-Liste, dass er den PoC nur auf 8.1 getestet hat und nicht weiß, ob Windows 7 anfällig ist.

Die Schwachstelle wird in der Funktion ahcache.sys/AhcVerifyAdminContext identifiziert. Der Proof of Concept umfasst zwei Programmdateien und eine Reihe von Anweisungen zur Ausführung, die dazu führen, dass der Windows-Rechner als Administrator ausgeführt wird. Forshaw erklärt, dass der Fehler nicht in UAC selbst liegt, sondern dass UAC teilweise verwendet wird, um den Fehler zu demonstrieren.

Microsoft hat ein großes Problem mit dieser Schwachstelle, da es seine Hauptpatches am zweiten Dienstag des Monats veröffentlicht. Derzeit hat Microsoft zwei Möglichkeiten:

• Beheben Sie es rechtzeitig für den zweiten Patch-Dienstag.
• Geben Sie einen außerplanmäßigen Patch heraus (normalerweise ein schlechtes Zeichen für 0day).

Der nächste Patch-Dienstag ist für den 13.01.2015 geplant, und wenn ein Patch davor veröffentlicht wird, kann davon ausgegangen werden, dass es sich um eine Zero-Day-Schwachstelle handelt.

Der gesamte Thread wird unten wiedergegeben:

Plattform: Windows 8.1 Update 32/64-Bit (Kein anderes OS getestet) Bei Windows 8.1 Update ermöglicht der Systemaufruf NtApphelpCacheControl (der Code befindet sich tatsächlich in ahcache.sys), dass Anwendungs-Kompatibilitätsdaten für eine schnelle Wiederverwendung zwischengespeichert werden, wenn neue Prozesse erstellt werden. Ein normaler Benutzer kann den Cache abfragen, kann jedoch keine neuen zwischengespeicherten Einträge hinzufügen, da der Vorgang auf Administratoren beschränkt ist. Dies wird in der Funktion AhcVerifyAdminContext überprüft. Diese Funktion hat eine Schwachstelle, da sie das Identitätstoken des Aufrufers nicht korrekt überprüft, um festzustellen, ob der Benutzer ein Administrator ist. Sie liest das Identitätstoken des Aufrufers mit PsReferenceImpersonationToken und vergleicht dann die Benutzer-SID im Token mit der SID von LocalSystem. Es wird nicht das Impersonation-Level des Tokens überprüft, sodass es möglich ist, ein Identitätstoken in Ihrem Thread von einem lokalen Systemprozess zu erhalten und diese Überprüfung zu umgehen. Zu diesem Zweck missbraucht der PoC den BITS-Dienst und COM, um das Identitätstoken zu erhalten, aber es gibt wahrscheinlich auch andere Möglichkeiten. Es ist dann nur eine Frage, einen Weg zu finden, die Schwachstelle auszunutzen. Im PoC wird ein Cache-Eintrag für eine UAC-Auto-Elevate ausführbare Datei (sagen wir ComputerDefaults.exe) erstellt und der Cache so eingerichtet, dass er auf den App-Kompatibilitätseintrag für regsvr32 verweist, der einen RedirectExe-Shim zwingt, regsvr32.exe neu zu laden. Es könnte jedoch jede ausführbare Datei verwendet werden; der Trick besteht darin, eine geeignete bereits vorhandene App-Kompatibilitätskonfiguration zu finden, die missbraucht werden kann. Es ist unklar, ob Windows 7 anfällig ist, da der Codepfad für das Update eine TCB-Berechtigungsprüfung darauf hat (obwohl es so aussieht, als könnte dies je nach den Flags umgangen werden). Es wurden keine Anstrengungen unternommen, um dies auf Windows 7 zu überprüfen. HINWEIS: Dies ist kein Fehler in UAC, es wird lediglich die UAC-Auto-Elevation zu Demonstrationszwecken verwendet. Der PoC wurde auf Windows 8.1 Update, sowohl in 32-Bit- als auch in 64-Bit-Versionen, getestet. Ich würde empfehlen, ihn in 32-Bit auszuführen, nur um sicherzugehen. Um dies zu überprüfen, führen Sie die folgenden Schritte aus: 1) Legen Sie die AppCompatCache.exe und Testdll.dll auf die Festplatte

2. Stellen Sie sicher, dass UAC aktiviert ist, der aktuelle Benutzer ein Split-Token-Administrator ist und die UAC-Einstellung die Standardwerte hat (keine Aufforderung für spezifische ausführbare Dateien).
3. Führen Sie AppCompatCache über die Eingabeaufforderung mit der Befehlszeile „AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll“ aus.
4. Wenn es erfolgreich ist, sollte der Rechner als Administrator ausgeführt werden. Wenn es beim ersten Mal nicht funktioniert (und Sie das Programm ComputerDefaults erhalten), führen Sie den Exploit erneut aus Schritt 3 aus; es scheint manchmal ein Cache-/Timing-Problem beim ersten Ausführen zu geben. Dieser Fehler unterliegt einer 90-tägigen Offenlegungsfrist. Wenn 90 Tage vergehen, ohne dass ein allgemein verfügbarer Patch veröffentlicht wird, wird der Fehlerbericht automatisch öffentlich sichtbar.

Ein anderer Benutzer hat behauptet, dass Windows 10 nicht anfällig für diese Schwachstelle ist, während ein anderer die Google-Politik in Frage gestellt hat, einen solchen Fehler ohne die Genehmigung von Microsoft öffentlich zu machen. Der Thread und der PoC sind hier zugänglich.