Sicherheitslücke während Windows 10 Update

Blog
Arthur Karolj24. 02. 2017

Sicherheitslücke während Windows 10 Update

Es existiert eine Sicherheitslücke, während das Feature Update (Windows Versions Upgrade, oder In-Place-Update) installiert wird. Die Installation einer neuen Windows 10 Version wird mit Hilfe des Windows PE (Windows Preinstallation Environment) durchgeführt. Hier ist eine Troubleshooting-Funktion implementiert, welche mit „Shift + F10“ eine Command Line mit Administratorrechten startet. Dies erlaubt einen Zugriff auf die Festplatte, welche während des Windows Update Vorganges, einen deaktiviertem Bitlocker hat. Bei folgenden Update Pfaden tritt die Sicherheitslücke auf:


•    Windows 10 RTM -> 1511 auf 1607 (November Update oder Anniversary Update)
•    Eine beliebige Windows 10 Version auf die aktuelle Version 1607

Wie kann die Sicherheitslücke entstehen

Schon ironisch, dass bei einem normalen Windows 10 Update, welcher eigentlichen Sicherheitslücken schließen sollte, der PC offen und zugänglich gemacht wird. Vorweg sollte man anmerken, dass Microsoft schon über diesen Bug Bescheid weiß und schon einige Zeit an einer Lösung für diese Sicherheitslücke arbeitet. Wie bereits oben erwähnt, kommt dieser Bug mit einem „Feature Update“ (In-Place-Upgrade), zur Geltung.

Ein „böser“ User muss einfach warten, bis ein neue Windows 10 Version veröffentlicht wird, um diese auszuführen und schon kann sich der ungebetene Benutzer selbst zum lokalen Administrator ernennen. Erschreckend oder? In diesem Blogeintrag sehen Sie wie ein Angreifer diese Sicherheitslücke ausnutzen kann.


Sie werden jetzt der Meinung sein, dass Sie auf Ihren Geräten Bitlocker verwenden und Ihre Daten somit sicher sind. Irrtum, denn der springende Punkt dabei ist, dass Bitlocker bei dem Update Prozess nicht aktiv sein kann, da das Update Dateien im Betriebssystem ersetzen und Dateien schreiben muss. Wenn ein Windows 10 Update gestartet wird, dauert dies eine Weile und man sieht die Meldung auf blauem Hintergrund „Updates werden installiert. Schalten Sie Ihren Computer nicht aus!“. Zu diesem Zeitpunkt befindet sich Ihr System in der sogenannten Windows PE Umgebung, dem Pre-Installation Environment. Da in dieser Umgebung etwas schieflaufen könnte, hat Microsoft ein Hidden Feature in dieser Umgebung implementiert, welches mit der Tastenkombination „Shift+F10“, die Windows Command Line als Administrator öffnet.

 

Uneingeschränkter Zugriff auf eine unverschlüsselte Festplatte

Nun wird Ihnen bewusst, dass wenn man auf die Command Line, mit uneingeschränkten Rechten, zu einem Zeitpunkt Zugriff hat, wo kein Bitlocker aktiv ist, es schlimme Folgen haben kann, falls dies einem ungewollten Benutzer in die Hände fällt. Das bedeutet man hat uneingeschränkten Zugriff auf eine unverschlüsselte Festplatte. Wenn man nun auf die Partition, auf welcher Windows 10 installiert ist, navigiert und in den Ordner Windows/System32 wechselt, hat man Zugriff auf Programme, wie die „cmd.exe“ oder die Bedienungshilfe oder auch die „sethc.exe“, welche im Fall dieser Sicherheitslücke eine gravierende Rolle spielt. Die „sethc.exe“ ist das Programm, welches aufgerufen wird, wenn die „Shift“ Taste fünf Mal hintereinander gedrückt wird, und in einem schrillen Ton und einer Message-Box mit „Einrastfunktion aktivieren“ resultiert.


Würde nun die „Sethc.exe“ durch das Programm „cmd.exe“ ersetzt, wäre die Sicherheitslücke in Windows 10 geschaffen, denn nach fünf maligen drücken der „Shift“ Taste, würde die Command Line geöffnet werden. Wenn man jetzt das System herunterfahren lässt, damit das Windows Update weiterverarbeitet wird, kann beim Startvorgang, wenn wieder die PE Umgebung kommt mit „Updates werden verarbeitet Schalten Sie Ihren Computer nicht aus!“, wieder mit „Shift+F10“ in die Command Line geöffnet werden.

 

 Zugang zum System wird erleichtert

Von der Command Line aus öffnet man nun die „Regedit.exe“ und lädt den Software-Hive von „Windows/System32/config/SOFTWARE“ in die „HKEY_LOCAL_MACHINE“. Im gerade geladenen Hive unter „Microsoft\WindowsNT\CurrentVersion\Image File Execution Options“, setzt man einen neuen Key, welchen man „sethc.exe“ benennt. In diesem Key erstellt man einen neuen String Wert mit dem Namen „Debugger“ und setzt ihm den Wert „cmd.exe“. Der Hive muss jetzt noch entladen werden und das System muss den Updatevorgang beenden. Jetzt hat der ungewollte Benutzer die Sicherheitslücke in Windows 10 ausgenutzt und kann sich jetzt Zugang zum System verschaffen.


Wenn Sie sich dann schlussendlich auf dem bekannten Login-Screen befinden, kann die Sicherheitslücke ihre Wirkung entfalten. Mit dem fünfmaligen drücken der „Shift“ Taste, öffnet sich nun die CMD mit Systemrechten, da ja kein Benutzer eingeloggt ist. Aus der CMD heraus, startet man nun das Computermanagement mit „compmgmt.msc“, wo Sie natürlich auch vollen Zugriff haben. Sie können nun unter „Local Users and Groups“ in Ruhe Ihren Benutzer suchen, welcher bis jetzt, nur normale eingeschränkte Rechte hatte, und ihn ganz einfach der Administratorengruppe hinzufügen. Oder Sie erstellen sich einen neuen Benutzer mit Administratorenrechten. Jetzt mit dem geänderten Account einloggen und schon hat man uneingeschränkte, administrative, Rechte auf dem lokalen System.


Diese Sicherheitslücke ist kritisch in zwei Punkten

•    Der Bitlocker kann umgangen werden.
•    Es wird eine unerlaubte Rechteerhöhung (Administratorrechte) ermöglicht.


Wieso würde dies jemand tun?

•    Ein Mitarbeiter möchte sich einen administrativen Zugang auf seinem System ermöglichen.
•    Eine firmenfremde Person möchte mit den Administratorrechten Zugriff auf das System und die lokalen Daten erhalten.


Wie können Sie sich gegen diese Sicherheitslücke schützen? Die Firma X-tech empfiehlt Ihnen:


•    Führen Sie keine Windows Updates unbeaufsichtigt aus!
•    Behalten Sie Ihre Mitarbeiter im Blick!
•    Falls möglich wechseln Sie auf die Windows 10 Enterprise LTSB Version!
•    Deaktivieren Sie währenddessen die CMD, whährend des Updatevorganges, indem Sie die Datei   „DisableCMDRequest.TAG“ im Verzeichnis „%windir%\Setup\Scripts“ hinterlegen.

 


Haben Sie weitere Fragen zum Windows 10 Update oder zum Betriebssystem-Deployment? Gerne können Sie sich direkt an uns (support[at]x-tech[dot]at) wenden mit Ihrem Anliegen!

 

Kein Kommentar