Windows-lek geeft gast via UAC-beveiliging systeemrechten
Een beveiligingslek in Windows User Account Control (UAC) maakt het mogelijk voor gasten of aanvallers die toegang tot een systeem hebben om systeemrechten te krijgen en de kwetsbaarheid is zeer eenvoudig uit te buiten. Microsoft rolde op 12 november een beveiligingsupdate voor het probleem uit, waarvan nu de details openbaar zijn gemaakt.
UAC is een beveiligingsmechanisme dat met Windows Vista werd geïntroduceerd en gebruikers een pop-up toont als er iets in het systeem wordt aangepast. De UAC-pop-up biedt niet veel mogelijkheden, behalve het invoeren van het beheerderswachtwoord of het sluiten van het venster. Daarnaast is het mogelijk om in het geval van een gesigneerd bestand de details te bekijken. Microsoft was vergeten om in de UAC-versie van het certificaatdialoogmenu hyperlinks uit te schakelen.
In het geval van een gesigneerd bestand was het daardoor mogelijk om de link van de certificaatuitgever aan te klikken. De browser werd in dit geval vanuit een proces gestart dat systeemrechten heeft. Vervolgens was het mogelijk om bijvoorbeeld cmd.exe te starten. Op deze manier had de aanvaller eenvoudig zelf systeemrechten kunnen krijgen. Het probleem speelde bij alle ondersteunde Windowsversies.
Enige voorwaarde is wel dat de aanvaller toegang tot het systeem heeft. Er zijn echter organisaties die systemen aanbieden waarop bijvoorbeeld gasten kunnen inloggen. Via deze truc zou een gast eenvoudig zijn rechten kunnen verhogen en controle over het systeem krijgen. Beveiligingsonderzoeker Simon Zuckerbraun van het Zero Day Initiative omschrijft het beveiligingslek als een "klassieker".
Zuckerbraun heeft daarnaast kritiek op de beoordeling van Microsoft. Volgens de softwaregigant is misbruik van de kwetsbaarheid "onwaarschijnlijk", maar daar is de onderzoeker het niet mee eens, aangezien het beveiligingslek zeer eenvoudig is uit te buiten. In onderstaande YouTube-video wordt het lek gedemonstreerd.
en dan zeggen ze dat windows niet gebruiksvriendelijk is!?
... veel makkelijker wordt het denk ik niet.
veel makkelijker dan dit wordt het niet :)
en dan zeggen ze dat windows niet gebruiksvriendelijk is!?
... veel makkelijker wordt het denk ik niet.
Maar de patch is er al, dus probleem is al opgelost en niet meer van toepassing.
Patch installeren en klaar. Doorgaan naar de overige waan van de dag.
Welkom bij software ontwikkeling
en dan zeggen ze dat windows niet gebruiksvriendelijk is!?
... veel makkelijker wordt het denk ik niet.
Héél gebruiksvriendelijk. En ook zo makkelijk als je problemen ondervindt. Fluitje van een cent (NOT!)
Je hebt er helemaal niks aan! Ik vind het onbegrijpelijk dat dit systeem nog zo geliefd is. Het is al het zoveelste incident. Ben er klaar mee....
… Toen ik 'm afkoppelde had ik geen beeld meer ...
en dan zeggen ze dat windows niet gebruiksvriendelijk is!?
... veel makkelijker wordt het denk ik niet.
Héél gebruiksvriendelijk. En ook zo makkelijk als je problemen ondervindt. Fluitje van een cent (NOT!)
Je hebt er helemaal niks aan! Ik vind het onbegrijpelijk dat dit systeem nog zo geliefd is. Het is al het zoveelste incident. Ben er klaar mee....
Of dit nu direct aan Windows te koppelen is, is ernstig de vraag. Klinkt meer als een heel ander probleem.
Daarnaast gaat Windows juist vrij goed om met multimonitors, zeker icm W10. Probeer dit maar eens een Linux machine te doen. Loopt daar jaren achter, en is erg gebruikers onvriendelijk.
dat is een beetje naief nietwaar?
het zal een flinke tijd duren voordat sommige organisaties deze noodzakelijke patch doorgevoerd hebben.
deze patch komt ook meteen tezamen met andere updates die je niet kunt weigeren en ook die moet je testen voordat je die doorvoert.
… Toen ik 'm afkoppelde had ik geen beeld meer ...
Ik heb uiteindelijk van pure ellende Windows 10 opnieuw geïnstalleerd. Wat denk je? Nadat de verse installatie was gedaan en ik deze nieuwe Windows 10 opnieuw opstartte na installatie gebeurde het ongelooflijke: het beeld was WEER zwart. Het beeldscherm is dus niet stuk, want bij het installeren werkte het gewoon, en op dezelfde machine Linux opstarten was geen probleem.
Weet je wat het uiteindelijk oploste? Het was een trucje die ik me ineens herinnerde toen mijn zus enige tijd geleden ongeveer hetzelfde probleem had (uiteraard wéér Windows!): stroom van de laptop, batterij eruit, 2 minuten de aan/uitknop ingedrukt houden, vervolgens de batterij er weer in stoppen, de stroom er weer op en Windows opnieuw opstarten. Toen pas werkte het weer!
Echt belachelijk gewoon. Wie verzint er zoiets? Daar kom je toch normaliter niet op? Gelukkig kon ik me ineens weer herinneren, want anders had ik niet eens meer Windows op die laptop kunnen draaien.
Of dit nu direct aan Windows te koppelen is, is ernstig de vraag. Klinkt meer als een heel ander probleem.
Daarnaast gaat Windows juist vrij goed om met multimonitors, zeker icm W10. Probeer dit maar eens een Linux machine te doen. Loopt daar jaren achter, en is erg gebruikers onvriendelijk.
Ja, het is een probleem specifiek bij Windows. Dat is ook gebleken! Met dezelfde machine het scherm aankoppelen onder Linux was geen enkel probleem. Zelfs niet meerdere keren aan- en afkoppelen van het scherm zorgde er niet voor dat mijn laptopscherm niet meer herkend werd; het werkte dus gewoon prima.
Met andere woorden: ik HEB het met Linux gedaan! Dus niks "gebruikersonvriendelijk". Dat is dus gewoonweg niet waar! En ik snap ook niet waarom dit maar geroepen blijft worden!
De oplossing heb ik in een andere post verzonden in dit draadje.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?