Ein Bit für die Systemherrschaft: Analyse des CVE-2016-7255-Exploits

Originalbeitrag von Jack Tang, Threats Analyst


Kürzlich entdeckten die Google-Forscher eine Windows-Schwachstelle, die Erweiterung der lokalen Privilegien betreffend. Sie wurde bereits in Zero-Day-Angriffen genutzt, einschließlich der Attacken der Pawn Storm Spionagegruppe. Microsoft veröffentlichte dafür einen Patch anlässlich des November-Patch Tuesday. Dennoch ist es wichtig, eine Analyse der Sicherheitslücke auf der Grundlage der gesammelten Samples zu kennen.

Es handelt sich um eine einfach auszunützende Sicherheitslücke, die in allen unterstützten Windows-Versionen – von 7 bis 10 – zu finden ist. Der entdeckte Exploit-Code betrifft nur die 64-Bit-Versionen, obwohl auch die 32-Bit-Version den Fehler enthält. Die Analyse zeigt, dass durch die Änderung eines einzigen Bits, die Angreifer die Privilegien eines Threads anheben können, sodass der Zugang zu einem Prozess auf Admin-Ebene stattfindet, was unter normalen Umständen nicht möglich ist.

Die Sicherheitslücke befindet sich im win32k.sys Kernel-Modul, einer wohlbekannten Angriffsfläche. Details dazu liefert der Originalbeitrag. Das folgende Bild zeigt die Beziehungen der Funktionen, die diese Lücke ausmachen:


Bild 1. Zusammenfassung der Lücken)Die Lücke ermöglicht es Angreifern, ein Bit für eine beliebige Kernel-Adresse zu setzen. Die Funktionsweise beschreibt der Originalbeitrag.

Fazit

Die Chrome-Sandbox erlaubt konzeptionsmäßig keine win32k.sys-Systemaufrufe. Damit reduziert sich die Bedrohung durch Exploits, die auf die Ausführung von Code über den Browser-Prozess bauen.

Microsoft arbeitet stetig daran, die Sicherheit von win32k.sys zu verbessern. In Windows wurden entsprechende Mechanismen hinzugefügt, und ein solcher Angriff funktioniert in einem laufenden System mit der neuesten Windows 10-Version nicht (veröffentlicht am 2. August 2016).

Lösungen von Trend Micro

Trend Micro Deep Discovery™ liefert Fähigkeiten zur Erkennung, für tiefgehende Analysen und proaktive Reaktion in Echtzeit auf versteckte Malware und gezielte Angriffe. Die Lösung bietet eine umfassende Verteidigung mithilfe von speziellen Engines, anpassbarem Sandboxing und der nahtlosen Korrellierung über den gesamten Angriffszyklus hinweg.

Trend Micro Deep Security™ und Vulnerability Protection liefern virtual Patching für den Schutz von Endpunkten vor Bedrohungen, die nicht gefixte Sicherheitslücken ausnützen. OfficeScan Vulnerability Protection schützt Endpunkte vor bekannten und unbekannten Lücken-Exploits, auch bevor Patches dafür ausgespielt wurden.

TippingPoint-Kunden sind vor diesen Angriffen über die folgenden MainlineDV-Filter geschützt:

  • 25718: HTTP: Microsoft Windows Privilege Escalation Vulnerability

Trend Micro Deep Security™-Kunden können das Regel-Update DSRU16-034 nutzen, das folgende Deep Packet Inspection (DPI) Rules umfasst:

  • 1008033-Microsoft Windows Elevation Of Privilege Vulnerability
  • 1008034-Microsoft Windows Multiple Security Vulnerabilities (MS16-135)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*