Archiv

Windows - Vom Gast zum Admin in weniger als 10 Sekunden

Freitag, 29. Januar 2010 16:42

Führt man den kompilierten Exploit aus, so erhält man eine Windows-Konsole in der man Systemrechte besitzt. D.h. in dieser Konsole darf man mehr Sachen machen als ein Benutzer mit Administratorrechten auf dem entsprechenden System. Grund dafür dass die Konsole mit dem Benutzer "system" gestartet werden kann ist ein Fehler in der Virtual DOS Machine. Da eigentlich fast jede Windows Version über ein DOS-System verfügt, funktioniert dieser Exploit wahrschenlich auf allen Windows-Versionen von Windows NT 3.1 bis einschließlich Windows 7. Da in den neueren 64-Bit Windows Versionen auf die Virtual DOS Machine verzichtet wurde, sind also nur 32-Bit-Systeme betroffen.

Zum testen habe ich gestern auf einem Rechner einen neuen Benutzer OHNE Administratorrechte erstellt. Mit dem habe ich mich dann angemeldet und versucht einen neuen Benutzer zu erstellen (was Nicht-Administratoren nicht dürfen). Wie erwartet hatte wurde mir dies verweigert. Nach dem Doppelklick auf dem Exploit und einer Zeile Text, die dazu diente den Test-Benutzer zur Gruppe der Adminstratoren hinzuzufügen habe ich dann noch einmal versucht einen neuen Benutzer anzulegen - erfolgreich. Das Starten des Exploit und das hinzufügen zur Admin-Gruppe hat noch nicht einmal 10 Sekunden gedauert.

Für alle die ihren Rechner nur alleine nutzen dürfte der Exploit kein Grund für schlaflose Nächte sein, da er nur lokal und nicht über das Netzwerk ausgeführt werden kann. Probleme bekommen Firmen, welche Rechner zur Verfügung stellen, auf denene es mehrer Benutzerkonten mit unterschiedlichen Rechten gibt. So wäre es z.B. möglich über das Windows-Gast-Konto die Eigenen Dateien aller Benutzer die sich an diesem System anmelden können zu durchsuchen.

Wie bei allen Lücken kann auch diese geschlossen werden, jedoch leider nicht durch ein einfaches Patch. Die einzige Möglichkeit besteht darin, die Virtual DOS Machine komplett abzuschalten. Durch dieses Abschalten können jedoch 16-Bit-Programme, oder Programme die einen 16-Bit-Installer benutzen nicht mehr ausgeführt/installiert werden. Da es jedoch kaum noch solche Programme gibt sollte das Abschalten der VDOSM keine nachteiligen Auswirkungen auf den Betrieb haben.

Hier eine kurze Anleitung wie ihr die Virtual DOS Machine ausschalten könnt:

1. Als Aministrator über den "Ausführen"-Dialog mit dem Befehl "regedit" die Registry anzeigen.

2. Einen neuen Schlüssel \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat erzeugen und dort als D-Word-Wert VDMDisallowed = 1 anlegen

Diese Vorgehensweise wurde noch nicht auf allen Betroffenen Windowssystemen getestet, sollte jedoch funktionieren. (Unter XP auf jeden Fall)

Weitere Informationen findet ihr hier: http://www.heise.de