Die runas-Funktion ("Ausführen als") von Windows 2000 weist mehrere Schwachstellen auf.

Betroffene Systeme

• Microsoft Windows 2000, insbesondere Windows 2000 Terminal Server

Einfallstor

1. Verwendung der runas-Funktionalität
2. deaktivierter runas-Dienst
3. runas-Dienst

Auswirkung

1. Benutzer-Berechtigungsnachweisse werden nach einer Verwendung der runas-Funktion weiterhin im Speicher gehalten, wodurch diese Ausgelesen werden können und eine unautorisierte Privilegienerweiterung möglich ist.
2. unautorisierte Privilegienerweiterung
3. Denial of Service (DoS) Angriff gegen den runas-Dienst

Typ der Verwundbarkeit

1. design flaw
2. Man in the Middle Attack Vulnerability
3. Denial of Service (DoS)

Gefahrenpotential

1. hoch
2. hoch
3. niedrig

Beschreibung
Die runas-Funktion unter Windows 2000, durch die Programme in einem anderen (Sicherheits-)Kontext ausgeführt werden können, besitzt mehrere Schwachstellen.

1. Die runas-Funktion beläßt Berechtigungsnachweisse in Klartext im Speicher, auch wenn die Anwendung bereits beendet wurde. Diese können anschliessend ausgelesen werden, wodurch eine unautorisierte Privilegienerweiterung möglich wäre. Von dieser Schwachstelle könnten insbesondere Terminal Server betroffen sein (da dort möglicherweise die runas-Funktion eingesetzt wird, und Benutzer Zugriff auf das System besitzen).
2. Bei deaktiviertem RunAs Service kann sich ein Angreifer eine Named Pipe (\\.\pipe\secondarylogon) mit dem selben Namen anlegen, welcher den Berechtigungsnachweis von Benutzern, die die runas-Funktion verwenden, entgegennimmt. Durch die Aufzeichnung der credentials in Klartext könnte eine Privilegienerweiterung möglich sein.
3. Die named pipe \\.\pipe\secondarylogon kann nur von einem Prozess verwendet werden. Baut ein Angreifer eine Verbindung zum runas-Dienst auf und beendet ihn nach Verwendung nicht, so kann von keinem weiteren Prozess der runas-Dienst benutzt werden. Somit steht die runas-Funktion weiteren Anwendern nicht zur Verfügung. Über das Netzwerk ist die Nutzung des runas-Dienstes nur der Administrator-Gruppe möglich.

Gegenmaßnahmen
Microsoft hat angekündigt, dass die beschriebenen Schwachstellen im Service Pack 3 für Windows 2000, welcher voraussichtlich im Februar 2002 veröffentlicht wird, behoben wird.

Workaround
Auf Multi-User-Systemen (z.B. Windows Terminal Servern) sollten die runas-Funktion nicht eingesetzt werden. Allerdings sollte der runas-Dienst auch nicht deaktiviert werden.

Vulnerability ID
liegt bislang nicht vor

Weitere Information zu diesem Thema

• Camisade Research Denial of Service Vulnerability in Windows 2000 RunAs Service
• Camisade Research RunAs Sensitive Data Exposure
• Camisade Research RunAs Service Pipe Authentication Failure

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/