Wasserhuhn
Banned
- Registriert
- Sep. 2021
- Beiträge
- 588
Ich habe das gestern zufällig gelesen und mich dann gewundert, wieso auf CB (ich konnte zumindest nichts finden) nicht über Follina berichtet worden ist.
News „SearchNightmare“: 0-Day-Exploit in der Windows-Suche nutzt Microsoft Word
- Ersteller SVΞN
- Erstellt am
- Zur News: „SearchNightmare“: 0-Day-Exploit in der Windows-Suche nutzt Microsoft Word
- Registriert
- Juni 2006
- Beiträge
- 67
Wenn ich den Artikel von BleepingComputer korrekt verstehe, dann kann man eben nicht Dinge im SYSTEM Kontext ausführen. Das dies im Video des Sicherheitsforschers funktioniert, liegt daran das er mit einem Admin Konto arbeitet und lediglich, via Sayuri, UAC umgeht. Anschließend kann man, weil man halt Admin ist, natürlich etwas über SYSTEM ausführen.
Aber ein normaler User würde hier an seinen Rechten scheitern, solange nicht eine weitere Lücke zur Rechteerweiterung ausgenutzt wird.
Edit:
Das sieht man in diesem Screenshot auch ganz gut, er hat bereits Admin-Rechte (1. Eintrag) jedoch ist seine Session beschränkt (Elevated = N). Hieraus startet er dann eine Session, wo er keine Einschränkungen mehr hat (UAC Aus / Elevated = Y). Aus einer solchen Session kann man dann auf dem SYSTEM Kontext zugreifen.
Das macht die Lücke nicht weniger gefährlich, aber es ist ein Unterschied ob das öffnen der Datei halt direkt als SYSTEM ausgeführt wird, obwohl man vielleicht selbst nur "normaler" User ist. Denn diese Sicherheitslücke führt nämlich zu keiner Privilege-Escalation und man bleibt im eigenen Kontext "gefangen".
EDIT2:
Umsomehr ich mich damit befassen, umsomehr glaube ich das es bei dieser "Lücke" primär um Aufmerksamkeit geht. Der Angreifer hat hier keine neue Lücke gefunden, sondern nutzt die Word Lücke vom ms-msdt: Problem um hier einfach einen ms-search: anstelle des ms-msdt: Call auszulösen. Auch ist keine Ausführung von Code im SYSTEM Kontext möglich, wenn man nicht über Admin Rechte verfügt. Das auf den Tweet keine Antworten erlaubt werden ist bezeichnend. Auch wie @ameisenbaer bereits erwähnt hat, ist diese ms-search: Thematik seit Jahren bekannt. Das Aufrufen eines ms-search: Calls wird hier einfach nur das erste mal genutzt. Das könnte aber auch genausogut jede andere Lücke machen, die Code Execution erlaubt. Alles basiert aber grundsätzlich auf dem Problem, dass man Word bzw. Office Produkte dazu bringen kann URIs ungefragt zu öffnen.
Aber ein normaler User würde hier an seinen Rechten scheitern, solange nicht eine weitere Lücke zur Rechteerweiterung ausgenutzt wird.
Edit:
Das sieht man in diesem Screenshot auch ganz gut, er hat bereits Admin-Rechte (1. Eintrag) jedoch ist seine Session beschränkt (Elevated = N). Hieraus startet er dann eine Session, wo er keine Einschränkungen mehr hat (UAC Aus / Elevated = Y). Aus einer solchen Session kann man dann auf dem SYSTEM Kontext zugreifen.
Das macht die Lücke nicht weniger gefährlich, aber es ist ein Unterschied ob das öffnen der Datei halt direkt als SYSTEM ausgeführt wird, obwohl man vielleicht selbst nur "normaler" User ist. Denn diese Sicherheitslücke führt nämlich zu keiner Privilege-Escalation und man bleibt im eigenen Kontext "gefangen".
EDIT2:
Umsomehr ich mich damit befassen, umsomehr glaube ich das es bei dieser "Lücke" primär um Aufmerksamkeit geht. Der Angreifer hat hier keine neue Lücke gefunden, sondern nutzt die Word Lücke vom ms-msdt: Problem um hier einfach einen ms-search: anstelle des ms-msdt: Call auszulösen. Auch ist keine Ausführung von Code im SYSTEM Kontext möglich, wenn man nicht über Admin Rechte verfügt. Das auf den Tweet keine Antworten erlaubt werden ist bezeichnend. Auch wie @ameisenbaer bereits erwähnt hat, ist diese ms-search: Thematik seit Jahren bekannt. Das Aufrufen eines ms-search: Calls wird hier einfach nur das erste mal genutzt. Das könnte aber auch genausogut jede andere Lücke machen, die Code Execution erlaubt. Alles basiert aber grundsätzlich auf dem Problem, dass man Word bzw. Office Produkte dazu bringen kann URIs ungefragt zu öffnen.
Zuletzt bearbeitet:
Bei Linux findet man halt Schwachstellen schneller als bei Windows, da Open Source - daher können und sollten das auch mehr Fehlerfunde sein. Was letztendlich gut ist.
Bei MS ist auch nicht Security-by-Design, sondern Usability-by-Design. Daher kommt es, das man als "normaler" User mit dem Standard-Admin weiter"arbeitet/spielt/surft"..etc., welcher 0815 Benutzer erstellt sich danach noch einen weiteren Benutzer (ohne Admin-Rechte) zum eigentlichen Arbeiten? Bei Linux ist sowas anders gelöst, daher sind solche Lücken in der MS-Welt perse ätzender in den Auswirkungen.
Bei MS ist auch nicht Security-by-Design, sondern Usability-by-Design. Daher kommt es, das man als "normaler" User mit dem Standard-Admin weiter"arbeitet/spielt/surft"..etc., welcher 0815 Benutzer erstellt sich danach noch einen weiteren Benutzer (ohne Admin-Rechte) zum eigentlichen Arbeiten? Bei Linux ist sowas anders gelöst, daher sind solche Lücken in der MS-Welt perse ätzender in den Auswirkungen.
nazgul77
Lieutenant
- Registriert
- Feb. 2006
- Beiträge
- 783
"kann man auch Mal vergessen" erinnert mich an den den Institut Linux E-Mail-Server meiner Universität, ist schon eine Dekade her. Die Platte wurde langsam voll und sollte erweitert werden. Weil man lange Zeit physisch nicht mehr ran musste, wurde der Server verzweifelt gesucht. Gefunden hat man ihn in einem alten Geräteraum - fast komplett eingemauertChris_S04 schrieb:
Zuletzt bearbeitet:
RadicalEd schrieb:
Ist ja gerade mit Blick auf Excel sinnvoll, etwa um Daten über Web-Schnittstellen zu beziehen, wie JSON-Dateien über REST. (Oder sehe ich das falsch?)
Das Problem ist eher, dass Office Produkte in diesem Zusammenhang Code ausführen können.
- Registriert
- Juni 2006
- Beiträge
- 67
calluna schrieb:
Nein die Office Anwendungen führen keinen Code aus, man kann sie nur dazu bringen bestimmte URIs zu öffnen. Wie z.B. ms-msdt: oder ms-search:. Bei ms-msdt konnte man das damit verbundene Programm dazu bringen ein PowerShell auszuführen. Word/Office hatte nur die Kette ins Rollen gebracht, indem es die URI startete. Genauso gut kannst du einfach mit Windows+R mal „ms-msdt:Test“ öffnen und du siehst das die Problembehebung von Windows startet.
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.998
Wenn ich eine Datei öffne, dann umgehend eine Abfrage für Adminberechtigung öffnet und ich diese bnestätige muss ich immer davon ausgehen, dass dann umgehend ein Keylogger isntalliert wird und ein Krypto-Trojaner anläuft. Ich sehe es ähnlich wie Microsoft, die Lücke ist nicht das große Problem, weil die für das Ausnutzen nötige Verhaltensweise auch ohne diese Lücke extrem brandgefährlich ist.
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
Naja bei Linux ist es auch nicht immer optimal gelöst.mitch-dk schrieb:
Einige Distris wollen das ROOT Passwort und andere wiederum das USER Passwort um Root Rechte zu bestätigen.
Und ja auch wenn man dem ROOT ein anderes Passwort vergeben hat.
Total schlau halt.
Und wenn es mal Linux Viren gibt dann hat man das Problem dass es keine AV Guards gibt.
Und wenn ein Scanner etwas findet ist es dann genau deshalb meist schon zu spät.
Und bei Personal Firewalls sieht es auch düster aus.
Da wählt so gut wie jedes Programm nach draußen und niemand bekommt davon etwas mit.
Zuletzt bearbeitet:
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.942
matze313 schrieb:Habe das eben mal unserem IT-Security Beauftragten geschickt, der wurde direkt nervös
Bei mir kam die Rückmeldung, dass Ihnen das Problem bewusst ist und man an einer Lösung arbeitet. Aber ich bin immer der Meinung, lieber einmal zu viel melden, als sich danach "schlau" hinzustellen und zu sagen "Also ICH habe das ja gewusst...".
Wasserhuhn
Banned
- Registriert
- Sep. 2021
- Beiträge
- 588
quakegott schrieb:
Einige wollen das natürlich für illegale Aktivitäten finden.
Es gibt aber viele, die dadurch ein Portfolio aufbauen möchten, und gerne die Prämie haben, wenn es entsprechende Programme dazu gibt.
Manche haben aber auch zusätzlich altruistische Gründe.
Das als "Langeweile" zu bezeichnen, finde ich sehr unverschämt.
Solche Leute sind hochtrainiert und spezialisiert, und gut gefragt und bezahlt.
Einem Forscher im medizinischen Bereich, würdest du sowas doch auch nicht unterstellen.
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
Studenten, Forschungsgruppen, Doktoranten, White- bis BlackHats, ..quakegott schrieb:
Meist ist das auch anfordernd und interessant. Manche mögen das lieber, als 9to5 Code zu schreiben.
BrollyLSSJ
Vice Admiral
- Registriert
- Juni 2007
- Beiträge
- 6.225
Doch, Windows 7 (und auch W2K8 R2, wenn ich mich nicht irre) bekommt noch Security Updates. Allerdings gegen Geld. Also einen Patch für zahlende Kunden sollte es daher noch geben. Diese ESU (Extended Security Updates) gehen ja noch bis Januar 2023 (dann sind die 3 Jahre kaufbarer Support rum). Wenn die Lücke gravierend ist, könnte es eventuell auch noch einen Backport für die normalen Windows 7 Installationen geben. Analog zu dem Wurm vor ein paar Jahren, wo XP bereits aus dem Support war und auch betroffen war und z.B. die Anzeigetafeln in den Bahnhöfen angegriffen worden sind. Das gab es dann auch für Jedermann / Jederfrau.ghecko schrieb:
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.117
@BrollyLSSJ
Jup das ist korrekt was du schreibst.
@ghecko
Zudem kann jeder sich hier noch länger mit Patches versorgen, hatte ich schon in #17 gepostet
https://0patch.com/
Jup das ist korrekt was du schreibst.
@ghecko
Zudem kann jeder sich hier noch länger mit Patches versorgen, hatte ich schon in #17 gepostet
https://0patch.com/
ghecko
Digital Caveman
- Registriert
- Juli 2008
- Beiträge
- 27.082
BrollyLSSJ schrieb:
Und wie viele der aktuellen Win7 Nutzer werden das tun, so prozentual gesehen? Knacken die die 1%?konkretor schrieb:
Ich kann mir schon denken wie das endet, das ist auch genau das Klientel die alles reflexartig anklicken und öffnen. Ausgenommen Windows Updates, die werden weggeklickt.
Nichts werden die tun außer Teil des nächsten Botnetzes werden und das Netz für alle etwas unsicherer machen. Mit etwas Glück wird nur die Festplatte verschlüsselt, dann haben nur die selbst was von. Das ist mir latte.
Sagen wir so, ein Exploid weniger der als Hintertür für Bundestrojaner&Co.KG dienen kann. Hinter solchen Lücken steckt eine Menge Geld, man sollte also froh sein wenn die gute Seite die mal zur Abwechslung findet und nicht an den Meistbietenden verkauft.quakegott schrieb:
Zuletzt bearbeitet:
