Eine Schwachstelle in der Virtual DOS Machine (VDM) die bereits 1993 in Windows/386 2.1 eingeführt wurde, kann von einem ordnungsgemäß am System angemeldeten, unprivilegierten Benutzer dazu ausgenutzt werden, administrative Privilegien zu erlangen. Diese Schwachstelle stellt insbesondere bei Mehrbenutzersystemen eine Bedrohung für die Systemsicherheit dar. Microsoft stellt derzeit keinen Patch zur Behebung der Schwachstelle bereit, weswegen dringend empfohlen wird, die Unterstützung für 16-bit-Programme abzuschalten.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Kontext
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Exploit Status

Zusammenfassung

• CVE-2010-0232:
  

  Betroffen:	Windows 2000, XP, Server 2003, Vista, Server 2008, 7 für 32-bit-Systeme
  Nicht betroffen:	Windows XP Pro, Server 2003 x64, Server 2003 Itanium, Vista x64, Server 2008 x64, Server 2008 Itanium, 7 x64, Server 2008 R2 x64, Server 2008 R2 Itanium
  Einfallstor:	16-bit-Anwendung
  Angriffsvoraussetzung:	Berechtigungsnachweis (user credentials)
  Angriffsvektorklasse:	local
  Auswirkung:	system compromise
  Typ:	Implementierungsfehler
  Gefahrenpotential:	hoch
  Workaround:	ja
  Gegenmaßnahmen:	nein
  Vulnerability ID:	CVE-2010-0232

Betroffene Systeme

• Microsoft Windows 2000 SP4
• Microsoft Windows XP SP2
• Microsoft Windows XP SP3
• Microsoft Windows Server 2003 SP2
• Microsoft Windows Vista
• Microsoft Windows Vista SP1
• Microsoft Windows Vista SP2
• Microsoft Windows Vista x64 Edition
• Microsoft Windows Server 2008 für 32-bit-Systeme
• Microsoft Windows Server 2008 für 32-bit-Systeme SP2
• Microsoft Windows 7
• Microsoft Windows Server 2008 R2 für 32-bit-Systeme

Nicht betroffene Systeme

• Microsoft Windows XP Professional x64 Edition SP2
• Microsoft Windows Server 2003 x64 Edition SP2
• Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
• Microsoft Windows Vista x64 Edition SP1
• Microsoft Windows Vista x64 Edition SP2
• Microsoft Windows Server 2008 für x64-basierte Systeme
• Microsoft Windows Server 2008 für x64-basierte Systeme SP2
• Microsoft Windows Server 2008 für Itanium-basierte Systeme
• Microsoft Windows Server 2008 für Itanium-basierte Systeme SP2
• Microsoft Windows 7 für x64-basierte Systeme
• Microsoft Windows Server 2008 R2 für x64-basierte Systeme

Einfallstor

• 16-bit-Anwendung

Angriffsvoraussetzung

• Berechtigungsnachweis für ein unprivilegiertes Benutzerkonto auf dem beherbergenden Systems
  (user credentials)

Angriffsvektorklasse

• lokal auf dem betroffenen System
  (local)

Auswirkung

• Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)

Typ der Verwundbarkeit

• Implementierungsfehler
  (implementation flaw)

Gefahrenpotential

• hoch

Kontext

Um auf 32-bit-Systemen 16-bit-Anwendungen nutzen zu können wurde 1992 in Windows/386 2.1 die Virtual DOS Machine eingeführt wurde und seither zusammen mit allen 32-bit-Versionen von Windows ausgeliefert. Die VDM simuliert eine DOS-Umgebung mit 16-bit-Adressraum und fängt alle Systemaufrufe ab, um sie fuer das darunterliegende 32-bit-Betriebssystem zu konvertieren.

Beschreibung

Eine Schwachstelle in der Virtual DOS Machine (VDM) kann von einem Angreifer mit einer speziell präparierten 16-bit-Anwendung dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit administrativen Privilegien ausgeführt. Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur Kompromittierung des beherbergenden Systems.

Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer als unprivilegierter Benutzer auf dem betroffenen System eingeloggt ist und beliebige 16-bit-Anwendung ohne Systemprivilegien starten darf.

Insbesondere auf Mehrbenutzersystemen stellt diese Schwachstelle eine ernstzunehmende Bedrohung dar und da noch kein Patch bereitgestellt wird, wird die Abschaltung der VDM auf betroffenen Systemen dringend empfohlen.

Es ist funktionierender Exploitcode im Umlauf.

Workaround

• Abschaltung der NTVDM, siehe dazu die Sektion Workarounds des Microsoft Security Advisory (979682)
  

Gegenmaßnahmen

• Derzeit ist kein Patch verfügbar.

Vulnerability ID

• CVE-2010-0232

Weitere Information zu diesem Thema

• Full-disclosure: Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack

Exploit Status

• Funktionierender Exploitcode ist in Umlauf

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/