KI-gestützte Cyberangriffe: Wie man intelligente Bedrohungen erkennt, verhindert und abwehrt

Jetzt lesen
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/ Blog / Privilegienerweiterung zum Systembenutzer unter Windows 10...
Endpoint

Privilegieneskalation zum Systembenutzer unter Windows 10 mit CVE-2019-1405 und CVE-2019-1322

von OPSWAT
Jetzt teilen

Autor: Vuong Doan Minh, Software , OPSWAT

Einführung

Privilegienerweiterung ist eine Art von Exploit, der böswilligen Akteuren erhöhte Zugriffsrechte auf geschützte Ressourcen in einer Anwendung oder einem Betriebssystem verschafft.

Exploit-Beschreibung

CVE-2019-1405 kann dazu verwendet werden, die Privilegien eines beliebigen lokalen Benutzers zum lokalen Dienstbenutzer zu erhöhen.

CVE-2019-1322 kann verwendet werden, um die Privilegien des lokalen Dienstbenutzers auf den lokalen Systembenutzer zu erhöhen.

Daher ermöglicht die Kombination beider CVEs in einem Exploit die Erhöhung der Privilegien eines beliebigen lokalen Benutzers zu einem Systembenutzer.

Diese Sicherheitslücken betreffen Computer mit Microsoft Windows 10 1803 und höher, die nicht auf den neuesten Patch oder auf den Sicherheitsupdate-Patch vom 12. November 2019 aktualisiert wurden [1][2].

Potenzielle Wirkung

Für Unternehmen ist dies sehr gefährlich, da es viele Möglichkeiten gibt, sich Zugang zu einem beliebigen Rechner innerhalb eines Unternehmens zu verschaffen. In einem Unternehmen, das einen Domänencontroller verwendet, kann sich beispielsweise jeder Benutzer bei jedem Rechner in der Domäne anmelden, wenn er physischen Zugang dazu hat. Er kann nur auf Daten zugreifen, die auf sein Benutzerkonto auf dem Rechner beschränkt sind. Durch Ausnutzung dieser Schwachstellen kann er jedoch erweiterte Prozesse erstellen, um:

  • Fügen Sie neue Benutzerkonten zur Gruppe "Administration" hinzu, um auf vertrauliche Ressourcen zuzugreifen.
  • Installieren Sie Backdoors und bösartige Programme auf dem Computer des Opfers, um sie später auszunutzen.
  • Anzeigen, Ändern oder Löschen von Daten.

Wie OPSWAT Ihnen hilft, die Schwachstellen zu erkennen

MetaDefender Access kann Geräte erkennen, die diese Schwachstellen aufweisen, und Anweisungen zur Behebung geben.

Nach der Installation von MetaDefender Endpointwerden Schwachstellen auf den Endpunkten erkannt und an MetaDefender Access gemeldet. MetaDefender Access analysiert die Daten und benachrichtigt die Endbenutzer, wenn eine Schwachstelle gefunden wird, zusammen mit hilfreichen Anweisungen zur Behebung der erkannten Schwachstellen. Administratoren können auch alle verwundbaren Geräte über die MetaDefender Access Webkonsole verwalten.

MetaDefender Core mit file-based vulnerability assessment kann Schwachstellen in Binärdateien auf Endpunkten erkennen. MetaDefender Core bietet APIs, die zur Integration mit anderen Diensten verwendet werden können, um Dateien zu scannen. Zum Beispiel: Scannen von Dateien, die in das Netzwerk Ihres Unternehmens ein- und ausgehen.

  • Wenn sich die anfällige Datei unter den Systemdateien befindet, ist das ein Zeichen dafür, dass Sie Ihr System aktualisieren sollten.
  • Handelt es sich bei der anfälligen Datei um ein Softwareprogramm, sollten Sie Ihre Software aktualisieren oder die Software vorübergehend deinstallieren.
  • Wenn ein Installationsprogramm anfällig ist, sollten Sie es nicht auf einem Rechner in Ihrem Unternehmen installieren.
  • Wenn eine Bibliotheksdatei in Ihrem Projekt verwundbar ist, sollten Sie die neueste gepatchte Version der Bibliothek finden oder die Verwendung einstellen, wenn es keinen Patch für die Verwundbarkeiten gibt.

Wie kann man das ausnutzen?

Der Exploit-Code für diese Schwachstelle ist unter https://www.exploit-db.com/exploits/47684 zu finden , als Modul des Metasploit-Frameworks von Rapid7 [3].

Exploit-Demo:

  • Rechner des Angreifers: Kali Linux.
  • Rechner des Opfers: Windows 10 1803 x64
  • In der Demo wird davon ausgegangen, dass der Angreifer bereits Zugriff auf den Rechner des Opfers hat.

Sanierung

Es wird dringend empfohlen, Windows immer auf dem neuesten Stand zu halten, insbesondere sicherheitsrelevante Updates (KB); oder zumindest Sicherheitspatches bis November 2019 anzuwenden.

Referenzen

[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability". Verfügbar: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.

[2] "CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability". Verfügbar unter: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.

[3] "Metasploit von Rapid7". Verfügbar: https://www.metasploit.com/

Tags:

Neueste Beiträge

Registrieren Sie sich für den OPSWAT Newsletter

Holen Sie sich die neuesten OPSWAT Unternehmens-Updates zusammen mit Veranstaltungsinformationen und die Neuigkeiten, die die Branche voranbringen.
Anmelden

Folgen Sie uns auf Social Media

Folgen Sie OPSWAT auf LinkedIn, Facebook, Twitter und YouTube, um mehr zu erfahren!

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.
Abonnieren