www.belgium.be Logo of the federal government

Windows taak planner Local Privilege Escalation kwetsbaarheid in ALPC interface

Referentie: 
Advisory #2018-25
Versie: 
1.0
Geïmpacteerde software: 
ALPC interface of Windows task scheduler
Type: 
Local Privilege Escalation

Bronnen

Risico’s

CERT.be raadt sys admins aan de laatste updates te installeren zodra deze beschikbaar zijn. Microsoft heeft nog geen patch voor deze ALPC bug maar deze wordt verwacht met de maandelijkse security updates van 11 september. De kwetsbaarheid maakt Local Privilege Escalation mogelijk.

Beschrijving

De Microsoft Windows task scheduler bevat een Local Privilege Escalation kwetsbaarheid in de Advanced Local Procedure Call (ALPC) interface, waardoor een lokale gebruiker SYSTEM privileges kan bekomen.

Meer bepaald bevat de Microsoft Windows task scheduler SchRpcSetSecurity API een kwetsbaarheid in de ALPC interface waarbij een geauthentiseerde gebruiker een bestand kan overschrijven dat met ACL’s daartoe beschermd zou moeten zijn. Dit kan worden misbruikt om SYSTEM privileges te bekomen.

Deze kwetsbaarheid wordt reeds actief uitgebuit.

Aanbevolen acties

Microsoft zou een update beschikbaar maken om deze kwetsbaarheid te verhelpen in de maandelijkse security updates van 11 september. Intussen is er een workaround (niet door Microsoft goedgekeurd, dus enkel met de nodige voorzichtigheid aanwenden!).

Zet ACLs op de C:\Windows\Tasks folder

Karsten Nilsen heeft een workaround voor deze kwetsbaarheid gepubliceerd. Met deze wijziging zullen tasks aangemaakt via de legacy task scheduler interface niet meer werken. Dit kan onder meer voor SCCM en aanverwante SCEP updates het geval zijn. Gelieve zich ervan te vergewissen deze workaround succesvol te testen zodat deze geen onvoorziene gevolgen creëert in uw omgeving.

Om deze workaround te implementeren volstaat het volgende commando’s uit te voeren in een elevated prompt:

icacls c:\windows\tasks /remove:g "Authenticated Users"

icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

Zodra er een patch beschikbaar is, zullen deze wijzigingen ongedaan moeten worden gemaakt, dit kan ahv.:

icacls c:\windows\tasks /remove:d system

icacls c:\windows\tasks /grant:r "Authenticated Users":(RX,WD)

Bron : https://twitter.com/karsten_nilsen/status/1034406706879578112