Nieuw Windows beveiligingslek geeft aanvaller meer rechten
Een nieuw en ongepatcht beveiligingslek in Windows XP en Server 2003 wordt actief misbruikt, en geeft een aanvaller administrator rechten op kwetsbare machines. Windows Vista zou voor zover bekend niet kwetsbaar zijn. Om het lek te kunnen misbruiken moet een aanvaller met een geldig account zijn ingelogd of hier toegang toe hebben, waardoor het gevaar volgens Symantec voor thuisgebruikers niet zo groot zou zijn.
In bedrijfsomgevingen is dit een ander geval, en zou een kwaadwillende werknemer adminrechten kunnen verkrijgen om bepaalde instellingen te veranderen of toegang tot afgeschermde informatie te krijgen. De kwetsbaarheid vormt ook een gevaar als gebruikers remote op een machine kunnen inloggen, en een aanvaller de login van een account met verminderde rechten heeft weten te bemachtigen.
Interessant detail is dat de kwetsbare driver in veel Windows installaties standaard aanwezig is, en zich in i386 map bevindt. In sommige gevallen kan de driver zonder de juiste beperkingen naar het kernelgeheugen schrijven. De beveiliger raadt systeembeheerders aan om zeer voorzichtig te zijn, en toegang tot onnodige services voor alle accounts, behalve die met adminrechten, uit te schakelen.
een geldig account zijn ingelogd of hier toegang toe hebben,
waardoor het gevaar volgens Symantec voor thuisgebruikers
niet zo groot zou zijn.
Nee, thuis-computers met een account dat 'Administrator' en
geen wachtwoord heeft, zijn een zeldzaamheid in
Windows-land. Dus zo'n geldig account heb je niet zomaar.
De kwetsbaarheid vormt ook een gevaar als gebruikers
remote op een machine kunnen inloggen,...
Op hoeveel thuis-pc's kan men via terminal services
aanmelden? Het gevaar zal wel meevallen inderdaad.
met een geldig account zijn ingelogd of hier toegang toe
hebben, waardoor het gevaar volgens Symantec voor
thuisgebruikers niet zo groot zou zijn.
en dan heb je zo'n privilege escalation niet echt nodig.
Echter, een executable ontvangen via e-mail of gedownload
vanaf het web kan hier natuurlijk wel gebruik van maken om
alsnog meer rechten te krijgen mocht de gebruiker zowaar een
keer geen administrator rechten hebben. Overigens heeft de
privilege escalation ook nog zin om uit te voeren als een
gebruiker wel administrator rechten heeft. De escalation is
namelijk naar SYSTEM. Beetje rare uitspraak van Symantec...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
