[English]Ein Reverse-Engineer ist über eine Schwachstelle in Windows 10 in Verbindung mit der Hyper-V-/Sandbox-Funktion gestoßen. Wird Hyper-V oder die Sandbox aktiviert, öffnet dies eine 0-day-Schwachstelle, die sich für Angriffe auf das System nutzen lässt.
Was ist die Windows Sandbox?
Wohl jeder Windows-Nutzer kennt das: Da hat man eine Software, die man erstmals einsetzt. Aber man hat Bedenken, die heruntergeladene ausführbare Datei auszuführen. Genau dort setzt die Windows Sandbox an: Sie stellt eine Umgebung bereit, in der die Software installiert und ausgeführt werden kann. Die Anwendung wird vom eigentlichen Betriebssystem isoliert und kann dort keine Änderungen vornehmen. Die Windows Sandbox stellt eine isolierte, temporäre Desktop-Umgebung bereit, in der Nutzer nicht vertrauenswürdige Software ausführen können, ohne Angst vor dauerhaften Auswirkungen auf Ihren PC zu haben.
Jede in Windows Sandbox installierte Software bleibt nur in der Sandbox und kann Ihren Host nicht beeinträchtigen. Beim Schließen der Windows Sandbox wird die gesamte Software mit all ihren Dateien und Status dauerhaft gelöscht. Die Funktion ist Teil von Windows 10 Pro, Education und Enterprise, nicht aber von Windows 10 Home. Weitere Details habe ich im Blog-Beitrag Windows 10 bekommt Sandbox für Anwendungen zusammen gefasst. Zudem muss die Virtualisierungsfunktion Hyper-V von der CPU unterstützt werden und der Sandbox-Modus unter Windows aktiviert sein.
Die Schwachstelle in der Windows Sandbox/Hyper-V
Die Windows Sandbox ist mir bisher vor allem durch diverse Bugs aufgefallen, so dass sie nicht einsetzbar war (siehe Linkliste am Artikelende). Nun kommt noch eine 0-day-Schwachstelle bei der Sandbox bzw. Hyper-V hinzu. Blog-Leser 1ST1 hatte in diesem Kommentar schon darauf hingewiesen. Der Reverse-Engineer Jonas Lykkegaard ist kürzlich auf diesen Sachverhalt gestoßen und hat dies in einem Tweet veröffentlicht.
Die Schwachstelle ermöglicht einem unprivilegierten Benutzer eine beliebige Datei im Windows Unterordner system32 zu erstellen. Normalerweise lassen sich Dateien nur mit erhöhten Privilegien in diesem Windows-Unterordner ablegen. Die Schwachstelle in der Windows Sandbox bzw. bei aktiviertem Hyper-V ermöglicht auch Nutzern mit Standard-Benutzerrechten das Schreiben in den Windows Unterordner system32.
Um die Schwachstelle im betreffenden Treiber zu demonstrieren, hat Lykkegaard in \system32 eine leere Datei phoneinfo.dll erstellt. Da der Ersteller der Datei auch deren Eigentümer ist, kann ein Angreifer dies nutzen, um bösartigen Code darin zu platzieren und diese Datei bei Bedarf auszuführen. Sicherheitsforscher Will Dorman bestätigt auf Twitter die Schwachstelle und schreibt:
Jedes Windows-System mit aktiviertem Hyper-V ist anfällig für eine triviale Privilegieneskalation, indem es einem unprivilegierten Benutzer erlaubt, eine Datei mit dem Namen was immer er will und wo immer er will, zu erstellen.
Die gute Nachricht ist, dass dies jedoch nur funktioniert, wenn Hyper-V auf dem Windows 10-/Windows Server-System aktiv ist. Das dürfte die Reichweite eines Exploits einschränken, da die Hyper-V-Option standardmäßig deaktiviert ist. Weitere Details hat Bleeping Computer hier zusammen getragen.
Ähnliche Artikel
Windows 10 bekommt Sandbox für Anwendungen
Windows 10 V1903: Jetzt gibt es Sandbox-Fehler 0xc0370106
Windows 10: Update KB4483214 killt die Sandbox
Windows 10 V1903: Update KB4497936 killt die Sandbox
Darauf habe ich schon vor dem Patchday hingewiesen. Das Gute an der Sache ist, dass ein Angreifer erstmal auf system32 schreibend zugreifen können muss. Wer das kann, kann aber noch vieles andere.
Ja ich hatte es gesehen – habe den Link auf deinen Kommentar noch eingefügt – war die Nacht spät und ich hab das dann vergessen. Danke für die Erinnerung.