Windows: Flickschusterei bei Benutzerrechten

Die Windows-Anwendungskommunikation lässt sich offenbar dazu nutzen, aus mit niedrigen Rechten gestarteten Anwendungen heraus volle Systemprivilegien zu erlangen.

In Pocket speichern vorlesen Druckansicht 904 Kommentare lesen
Lesezeit: 3 Min.
Von

In einem Security Advisory berichten die spanischen Hacker Andrés Tarascó und Iñaki Lopez, dass sich die Windows-Anwendungskommunikation dazu nutzen lässt, aus mit niedrigen Rechten gestarteten Anwendungen heraus volle Systemprivilegien zu erlangen. Sie beschreiben Szenarien, in denen Anwendungen, die vom Administrator über "runas" mit niedrigen Berechtigungen gestartet wurden, aus diesem Sicherheitskontext ausbrechen könnten.

Ein Beispiel für ein solches Szenario wäre die von Microsoft entwickelte Software "DropMyRights". Die Redmonder wollen damit unter anderem den Internet Explorer einfach und komfortabel mit niedrigen Rechten starten, damit Spyware und Trojaner, die häufig Lücken im IE ausnutzen, keinen Schaden am System anrichten können. Dieses im kommenden Windows Vista fest integrierte Konzept, bei dem der Anwender mit Administratorrechten arbeitet und nur bestimmte Anwendungen mit niedrigen Rechten startet, ist offensichtlich komplett unbrauchbar.

Grundsätzlich ist diese Art von Lücke nicht neu. Schon 2003 warnten Sicherheitsexperten vor Zeitbomben in der Windows-Anwendungskommunikation und sprachen dabei von jahrealten Lücken. Microsoft versuchte in der Vergangenheit, derartige Angriffswege (Shatter-Attacks) durch Patches zu versperren. Das Problem liegt aber tiefer, sodass immer nur bestimmte Varianten blockiert werden können.

Der jetzt vorgestellte Angriffsvektor beruht ebenfalls darauf, dass Windows-Anwendungen über Systemnachrichten im "Anwendungs-Messaging-System" miteinander kommunizieren können. Beispielsweise meldet Windows einer Anwendung darüber, dass ihr Fenster von einem anderen überlagert wurde, woraufhin die entsprechende Anwendung nach Ende der Überlappung die betroffenen Regionen neu zeichnet.

Über dieses Nachrichtensystem können auch Tastenanschläge gesendet werden. Windows überprüft aber Tarascó und Lopez zufolge nicht, ob ein mit eingeschränkten Rechten gestartetes Programm Tastenfolgen an mit Systemrechten laufende Prozesse sendet. Somit könnten Prozesse angegriffen werden, um beispielsweise eine Shell mit Systemrechten zu öffnen. In dem Security Advisory ist ein kleines Programm zur Demonstration der Lücke beigefügt, das -- aus einer Shell mit Gastrechten heraus gestartet -- eine im Netzwerk lauschende Shell mit Administratorrechten öffnet.

In der Praxis bedeutet dies, dass es wenig nützt, den Webbrowser und das Mailprogramm mit niedrigen Rechten auf dem Administrator-Desktop auszuführen -- Trojaner und ähnliche Schadsoftware können Prozesse wie den Windows Explorer finden und darüber aus ihrem Sicherheitskontext ausbrechen.

Als Workaround schlagen die beiden Autoren vor, nur vertrauenswürdige Anwendungen als Services mit Desktop-Interaktion laufen zu lassen und auf Produktionssystemen auf den Einsatz von "runas" zu verzichten.

Siehe dazu auch: (dmk)