You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-748

[MS/Windows NT,2000] Lokale Privilegienerweiterung durch Debugging-Subsystem - Update
(2002-03-18 13:06:14+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00243.html

Durch eine Schwachstelle im Debugging-Teilsystem von Windows NT/2000 ist eine lokale Privilegienerweiterung möglich.

Betroffene Systeme

  • Microsoft Windows NT
  • Microsoft Windows 2000

Nicht betroffende Systeme

  • Microsoft Windows XP

Einfallstor
lokaler Benutzeraccount (z.B. Gast-Account)

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch (local root exploit)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch eine Schwachstelle im Microsoft Windows NT/2000 Debugging-Teilsystem, welches Bestandteil des Session Manager (smss.exe) ist, können lokal am System angemeldete Benutzer handles von priviligierten Prozessen erzeugen bzw. duplizieren da der DbgSsApiPort-LPC-Port (ZwConnectPort) der Gruppe "Jeder" Zugriff gestattet. Durch diesen Umstand ist eine lokale Privilegienerweiterung (auf die Privilegien des jeweiligen Prozesses) möglich.

Workaround
Der Autor der Sicherheitslücke zeigt in der Beschreibung des Exploitcodes ("DebPloit") mehrere Möglichkeiten eines Workaround/Hotfixes auf. Diese sind jedoch nicht vollständig trivial und derzeit nicht verifiziert.

Mittlerweile liegt der Sourcecode für einen gangbaren Workaround vor, siehe [MS/Windows NT,2000] Workaround für Debug-Privilegienerweiterung.

Gegenmaßnahmen
Bislang liegt keine Reaktion von Microsoft vor.

Weitere Information zu diesem Thema

Revisionen

  • V.1.0 (2002-03-18)
  • V.2.0 (2002-03-22) Sourcecode für den DPFix-Workaround verfügbar, jedoch fehlt derzeit noch der Sourcecode für eine der verwendeten Bibliotheken

(tf)

Weitere Artikel zu diesem Thema:

  • [MS/Windows NT,2000] Workaround für Debug-Privilegienerweiterung (2002-03-26)
    Das RUS-CERT hat ein quelltextoffenes Programm (unter der GPL) entwickelt, welches bis zur Verfügbarkeit eines Patches von Microsoft verhindern kann, daß lokale Benutzer durch Ausnutzung der \DbgSsApiPort-Schwachstelle SYSTEM-Privilegien erhalten.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.