Sicherheitslücke

Über das Blockieren von Angriffen auf die Windows-CTF-Sicherheitslücke

, Wiesbaden, Sophos | Autor: Herbert Wieler

Über das Blockieren von Angriffen auf die Windows-CTF-Sicherheitslücke

EoP-Sicherheitsanfälligkeit

Betriebssysteme und Laufzeitumgebungen bieten normalerweise eine Art Isolation zwischen Anwendungen. Beispielsweise führt Windows jede Anwendung in einem separaten Prozess aus. Diese Isolation verhindert, dass Code, der in einer Anwendung ausgeführt wird, andere, nicht verwandte Anwendungen beeinträchtigt. Dies bedeutet, dass ein Prozess im nicht administrativen Benutzermodus nicht auf Kernel-Code und -Daten zugreifen oder diese manipulieren kann und ein Prozess im nicht autorisierten Benutzermodus nicht in den Code und die Daten eines anderen Prozesses eintauchen kann.

Es stellt sich jedoch heraus, dass die Windows-Prozessisolierung aufgrund einer nicht dokumentierten und fehlerhaften Komponente, die nur als „CTF“ bezeichnet wird und Teil des Windows Text Services Framework (TSF) ist, unvollständig ist. Diese Komponente ist in allen Versionen ab Windows XP enthalten. Der datierte Code und das unsichere Design dieses Subsystems ermöglichen es einem nicht-administrativen, oder nicht-autorisierten Angreifer, jeden Windows-Prozess – einschließlich Anwendungen, die in einer Sandbox wie AppContainer ausgeführt werden – zu hijacken und vollständige Administratorrechte zu erlangen.

Dieser Konstruktionsfehler in CTF wurde von Google Project Zero-Forscher Tavis Ormandy entdeckt und ausgenutzt, der einen ausführlichen Blog-Artikel über seine Ergebnisse verfasste. Ormandys Angriff, der als CVE-2019-1162 bezeichnet wird, ist eine sogenannte EoP-Sicherheitsanfälligkeit (Elevation of Privilege).

Um diese Schwachstelle auszunutzen, muss ein Angreifer allerdings bereits eingedrungen sein, z. B. indem er die von einem anderen Computer gestohlenen Anmeldeinformationen verwendet, eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung ausnutzt oder Tricks ausführt, die den Benutzer zum Öffnen eines malware-verseuchten Dokuments verleitet.

Obwohl Sophos Intercept X bereits verhindert, dass Angreifer diese Schwachstelle ausnutzen und der Fehler bereits als CVE-2019-1162 von Microsoft behoben wurde – erwarten die Security-Experten, dass Angreifer versuchen werden, zusätzliche Schwachstellen im CTF zu finden, indem sie das veraltete und unsichere Design als Angriffsfläche weiter ausnutzen.

Aus diesem Grund hat das Sophos Threat Mitigation-Team eine Exploit-Minderung auf Systemebene entwickelt, die den Missbrauch des CTF-Subsystems verhindert. Diese neue Komponente namens CTF Guard fängt Anwendungen ab und blockiert sie, die versuchen, CTF auszunutzen.

Beispielsweise wird die Datei cfttool.exe von Tavis Ormandy, die als „interaktives CTF-Erkundungstool“ beschrieben wird und es den Forschern ermöglicht, nach Löchern in CTF zu suchen, abgefangen und beendet, wenn versucht wird, eine Verbindung zum CTF-Subsystem herzustellen und mit ihm zu kommunizieren:

CFT Guard ist bereits im Sophos HitmanPro .Alert verfügbar und wird in Kürze in Sophos Intercept X integriert sein.

Von Mark Loman