{"id":209,"date":"2008-02-15T15:57:32","date_gmt":"2008-02-15T14:57:32","guid":{"rendered":"http:\/\/kay-bruns.de\/wp\/2008\/02\/15\/verwundbarkeiten\/"},"modified":"2014-09-24T13:34:25","modified_gmt":"2014-09-24T12:34:25","slug":"verwundbarkeiten","status":"publish","type":"post","link":"https:\/\/kay-bruns.de\/wp\/2008\/02\/15\/verwundbarkeiten\/","title":{"rendered":"Verwundbarkeiten"},"content":{"rendered":"


\n\"\"<\/a>Kurz: SuRun bis 1.0.2.9 bzw 1.0.2.103 Beta konnten (genau so, wie machmichadmin, SuDown und RunAs) benutzt werden, hier steht, wie und warum.<\/p>\n

In diesem Beitrag wird ein Werkzeug mit Quelltexten ver\u00f6ffentlicht, das automatisch Benutzernamen und deren Passworte erkennt und das ausnutzt, um eine Konsole mit diesen Daten zu starten.<\/p>\n

SuRun Benutzer sollten ein Update auf SuRun 1.0.3.0 bzw. die aktuelle Beta machen um diese Verwundbarkeit zu schlie\u00dfen.<\/p>\n

Lang:<\/p>\n

Um Programme automagisch administrativ zu starten hat SuRun bis zur vorletzten Beta ein IShellExecuteHook<\/a><\/em> Interface benutzt. So wurden SuRun von Windows fast alle Benutzer-Programme vorgelegt, bevor sie ausgef\u00fchrt wurden und SuRun konnte seelenruhig entscheiden, was zu tun ist.<\/p>\n

Die Sache hatte jedoch einen Haken.<\/p>\n

Wenn der Hook deaktiviert war oder sich jemand vor SuRun einklinkte, war nix mit gehobenen Rechten. \ud83d\ude25<\/p>\n

Deshalb habe ich in den letzten Tagen mit „Import Address Table<\/a> (IAT) Hooking<\/a>“ experimentiert.<\/p>\n

\ud83d\udca1<\/strong> Innerhalb eines Windows Prozesses werden Aufrufe von Funktionen, die in DLL<\/a>s implementiert sind (Importe) \u00fcber Tabellen gehandhabt. Die jeweilige DLL wird in den Speicher des Prozesses geladen. Dann werden die Tabellen mit den Importierten Funktionen des Moduls auf die geladene DLL „verbogen“ und alles l\u00e4uft prima. Es gibt also Tabellen mit den Adressen importierter DLL Funktionen, kurz IAT.<\/p><\/blockquote>\n

Dieses einfache Prinzip l\u00e4sst sich auch „nutzen“.<\/p>\n

Das ist gar nicht sooo schwer. Man sucht sich eine bekannte Funktion, wie z.B. CreateProcessWithLogonW<\/a><\/em>. Dann baut man eine Funktion in sein Programm, die genau so aufgerufen wird, wie z.B.: BOOL WINAPI CreateProcWithLogonW(LPCWSTR, LPCWSTR, LPCWSTR, DWORD, LPCWSTR, LPWSTR, DWORD, LPVOID, LPCWSTR, LPSTARTUPINFOW, LPPROCESS_INFORMATION);<\/em><\/p>\n

Jetzt sucht man in allen geladenen Dlls des Prozesses in dem man l\u00e4uft nach der Original-Funktion und „verbiegt“ die zu sich selbst.<\/p>\n

Wenn Ein Thread des Prozesses nun CreateProcessWithLogonW <\/em>aufzurufen glaubt, wird stattdessen CreateProcWithLogonW <\/em>aufgerufen.<\/p>\n

So man dann kontrollieren, was geschehen soll. \ud83d\ude0e<\/p>\n

SuRun Beta ab Version 1.0.2.104 benutzt diesen Trick auch, um u.A. CreateProcess <\/em>abzufangen. So kann SuRun erkennen, ob der Prozess administrativ gestartet werden soll bzw. muss.<\/p>\n

Windows injiziert SuRunExt.dll<\/em> in alle laufenden Prozesse, die ein Fenster haben und SuRunExt.dll<\/em> installiert dann die entsprechenden IAT-Hooks<\/a>.<\/p>\n

Zum Test dieser Technik habe ich mir ein Werkzeug<\/a><\/strong> geschrieben.<\/p>\n

Nachdem es halbwegs funktionierte, habe ich es ver\u00e4ndert, um die Systemsicherheit zu testen.<\/p>\n

Ruft ein Prozess mit injizierter IATHook.dll<\/em> (z.B. Explorer.exe) CreateProcessWithLogonW <\/em> auf, \u00fcbergibt IATHook.dll<\/em> zun\u00e4chst alles der originalen Funktion mit einer Ausnahme: Der neue Prozess wird schlafend („suspended“) erstellt.<\/p>\n

Meldet Windows die erfolgreiche Erstellung des Prozesses, startet IATHook.dll<\/em> mit den selben Daten f\u00fcr Name und Passwort eine Windows Console.<\/p>\n

Das geht alles ohne jegliche Privilegien, sogar als Gast!<\/strong><\/p>\n

Jeder Benutzer, der eine USB-Kamera ansteckt und nach Aufforderung die Daten eines Administrators eingibt, sollte das Tool mal ausprobieren.<\/p>\n

Auch ein fr\u00fcheres SuRun konnte so als Sprungbrett missbraucht werden. Da SuRun bisher immer als Benutzerprogramm gestartet wurde, dass den Service kontaktiert und dann CreateProcessWithLogonW <\/em>aufruft, war es f\u00fcr IAT-Hooks anf\u00e4llig. Damit konnte man zwar den Start des Programms nicht fernsteuern, aber man konnte parallel ein zweites Programm mit Administrator-Rechten starten!<\/p>\n

Wie umgeht SuRun das jetzt?<\/strong><\/p>\n

Klickt der Benutzer ok, l\u00e4dt der SuRun-Dienst ein neues SuRun.exe<\/em> im Kontext des Benutzers schlafend in den Speicher. Dann schreibt der Dienst Benutzernamen, Password etc. direkt in das neue Programm und startet es. Das neue SuRun ruft sofort ohne grafisches Interface CreateProcessWithLogonW <\/em> auf und beendet sich.<\/p>\n

Der Dienst deaktiviert f\u00fcr die Startdauer auch die AppInit_Dlls<\/em><\/a>.<\/p>\n

Dadurch wird es hoffentlich schwer m\u00f6glich, das frische SuRun zu infizieren und CreateProcessWithLogonW<\/em> abzufangen.<\/p>\n

Download:<\/strong><\/p>\n

IATHook Quelltext und ausf\u00fchrbare Dateien: IATHook.zip<\/a><\/strong><\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Kurz: SuRun bis 1.0.2.9 bzw 1.0.2.103 Beta konnten (genau so, wie machmichadmin, SuDown und RunAs) benutzt werden, hier steht, wie und warum. In diesem Beitrag wird ein Werkzeug mit Quelltexten ver\u00f6ffentlicht, das automatisch Benutzernamen und deren Passworte erkennt und das ausnutzt, um eine Konsole mit diesen Daten zu starten. SuRun Benutzer sollten ein Update auf […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/posts\/209"}],"collection":[{"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/comments?post=209"}],"version-history":[{"count":2,"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/posts\/209\/revisions"}],"predecessor-version":[{"id":523,"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/posts\/209\/revisions\/523"}],"wp:attachment":[{"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/media?parent=209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/categories?post=209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kay-bruns.de\/wp\/wp-json\/wp\/v2\/tags?post=209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}