Microsoft hat kürzlich 129 Sicherheitslücken behoben (in seiner gesamten Palette von Softwareprodukten). Elf Fehler davon sind kritisch und sollten schleunigst behoben werden.

Angreifer (lokal) können Gruppenrichtlinienfehler verwenden, um ganze Windows-Unternehmenssysteme zu übernehmen. Microsoft hat jetzt einen Patch veröffentlicht, um den Fehler zu beheben. Dies bedeutet, dass anfällige Benutzerkonten schädliche DLLs auf dem System platzieren können.

Das Problem (CVE-2020-1317) betrifft einen der grundlegendsten Mechanismen zur zentralen Verwaltung der Einstellungen von Windows-Computern und -Benutzern in Active Directory-Umgebungen: die sogenannten Gruppenrichtlinien. Der Fehler ist ebenfalls alt und in allen Windows-Versionen für Desktops und Server von Windows Server 2008 vorhanden.

Microsoft beschreibt:

“Eine Sicherheitsanfälligkeit bezüglich Erhöhung von Berechtigungen liegt vor, wenn die Gruppenrichtlinie den Zugriff nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Prozesse in einem erhöhten Kontext ausführen. Um die Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst beim System anmelden und dann ausführen eine speziell gestaltete Anwendung, um die Kontrolle über das betroffene System zu übernehmen. “

Wie ein Angreifer die Sicherheitsanfälligkeit in Gruppenrichtlinien ausnutzen kann:

Gruppenrichtlinieneinstellungen werden auf Windows-Systemen als Gruppenrichtlinienobjekte (Group Policy Objects, GPO) gespeichert. Der Domänenadministrator kann diese vom Domänencontroller über das Netzwerk verteilen. Standardmäßig erfolgen Gruppenrichtlinienaktualisierungen nicht sofort, es dauert einige Zeit. Aus diesem Grund enthält Windows ein Tool namens GPUpdate.exe, mit dem der Benutzer GPO-Updates anfordern kann (vom Domänencontroller).

CyberArk in einem Blogbeitrag:

“Interessanterweise kann eine Aktualisierung der Gruppenrichtlinien von einem lokalen nicht privilegierten Benutzer manuell angefordert werden. Wenn Sie also einen Fehler in der Aktualisierung der Gruppenrichtlinien finden, können Sie ihn jederzeit selbst auslösen, um einen möglichen Angriff zu ermöglichen.”

Der Dienst namens GPSVC führt die Aktualisierungen der Gruppenrichtlinien durch, die als svchost.exe-Prozess bezeichnet werden. Mit den höchstmöglichen Berechtigungen wird dieser Dienst erwartungsgemäß im Kontext von NT AUTHORITY \ SYSTEM ausgeführt.

Aktualisierungen der Gruppenrichtlinien können einem Computer, einer Site, einer Domäne oder einer Organisationseinheit zugeordnet werden. Der Dienst speichert es als Datei mit dem Namen Applied-Object.xml, die dann in den Objekttyp umbenannt wird, für den die Richtlinie gilt. Beispielsweise würde eine Richtlinie für Drucker in Printers \ Printers.xml übersetzt. Mit einer Organisationseinheit verknüpfte Objektaktualisierungen der Gruppenrichtlinien, die auf alle Benutzer und Computer in der Domäne abzielen, werden an einem Speicherort auf dem Computer im Verzeichnis %localappdata% gespeichert, auf das jeder lokale Benutzer zugreifen kann.

Der Dienst ändert seinen Kontext und seine Berechtigungen nicht für den lokalen Benutzer, der das Update angefordert hat, sondern schreibt die Datei mit LocalSystem-Berechtigungen. Nichtprivilegierte Benutzer können GPUpdate.exe verwenden, um Dateischreibvorgänge mit LocalSystem-Berechtigungen in einem Verzeichnis auszulösen, auf das sie Zugriff haben.

Schließlich kann der Benutzer einen Symlink erstellen, der den Speicherort der zu schreibenden Zieldatei angibt, z.B. Printers.xml ist mit einer Systemdatei verknüpft, die sich in einem geschützten Windows-Verzeichnis wie C: \ Windows \ System32 \ befindet und viele Dateien enthält, die vom Betriebssystemkern ausgeführt werden. Dies bedeutet, dass, wenn der GPSVC versucht, die Datei Printers.xml an einen für den Benutzer zugänglichen Ort zu schreiben, z.B. auf die Datei in C: \ Windows \ System32 \ kann es sogar, weil es mit Systemberechtigungen funktioniert.

Um die Sicherheitsanfälligkeit im Gruppenrichtlinienobjekt zu beheben, musste Microsoft korrigieren, wie Gruppenrichtlinien den Zugriff überprüften. Dies war sicherlich nicht einfach, da es sich um einen grundlegenden Mechanismus für die Windows-Verwaltung handelt. CyberArk hat das Problem im Juni letzten Jahres gemeldet. Microsoft benötigte daher ein ganzes Jahr, um ein Update zu veröffentlichen. Patches für alle betroffenen Betriebssysteme mussten entwickelt werden.