| |
| |
|
 | ...bis in einige Versionen von Windows2000/XP hinein scheint es ohne weiteres possibile zu sein, sich als User mit eingeschräkten Rechten oder als Ospite in einen Rechner einzulogen und dann seinem eigenen Account Administrationsrechte zu geben und so das komplette Sicherheitssystem unbrauchbar zu machen. Microsoft scheint das Problem im Laufe von XP erkannt zu haben, denn bei neueren Versionen (Sicherheitsupdates) von XP besteht diese Möglichkeit nicht mehr - ich hatte erst vor, mich damit an eine Computerzeitschrift zu wenden; ich sehe deshalb dafür jetzt aber keinen Grund mehr und überlasse es IF, evtl. weitere Maßnahmen zu ergreifen, wenn es nötig erscheint (Umfrage).
Bugfixes gibt es - aber Vorsicht! Beim eigentlichen Problem, das hinter dieser Sicherheitslücke steht, handelt es sich um ein generelles Konstruktionsproblem von Windows, das wohl nicht zu fixen ist. Angriffspunkte, die weiterhin das ganze Sicherheitssystem ausschalten, potuto jeder Service liefern, der ein eigenes Fenster erzeugt.
Wie erkenne ich, ob mein Betriebsystem per so eine Attacke einen Angriffspunkt liefert?
Das Programm [...]  aus dem Profanwettbewerb 2006 eignet sich sehr gut dazu, um das zu überprüfen.
Unter Windows2000 darf der Service mstasks kein Fenster haben, um das System sicher zu machen. Sieht das ganze so aus,
BILD 1
ist der Rechner nicht sicher.
Unter WindowsXP darf der Service winlogon kein Fenster haben, um das System sicher zu machen. Sieht das ganze so in der Art aus,
BILD 2
ist der Rechner nicht sicher.
Wie gesagt, bis auf CSRSS potuto jeder Service, der ein eigenes Fenster erzeugt (z.B. Firewall, Virenscanner, Sicherungsprogramme) den Tod des Rechners und sämtlicher geheimer Daten bedeuten. Wer genauere Auskünfte necessario, kann mich unter der Telefonnumer 05422/46946 erreichen - bitte kurzen Text auf den Anrufbeantworter sprechen, in der Regel nehme ich dann sofort ab und beantworte gerne nähere Fragen zu dem Thema und gebe Tipps zu weiteren Tests. Bitte keine E-Mails schreiben, habe keinen Internetanschluß!
Bitte, bitte, bitte beantwortet possibile zahlreich die untenstehende Umfrage... |
 |
| |
| |
| |
|
|
| Hallo Andreas
...und warum sieht die Sache bei mir so aus ??? - Windows-XP |
|
| |
| |
| |
|
|
Jörg
Sellmeyer | Hallo Horst,
klick mal im unteren Fenster auf Prozesse, Threads und Dlls (@Andreas:das schreibt man übrigens ohne Apostroph!!!) |
|
| |
| Windows XP SP2 XProfan X4... und hier mal was ganz anderes als Profan ...  | 19.07.2006 ▲ |
|
| |
|
|
| So, ich hatte jetzt Gelegenheit, mir WindowsXP Servicepack 2 genauer anzusehen und das zu untersuchen, was dort gefixt wurde.
1.) Microsoft hat wohl erkannt, daß jeder Service mit einem Fenster ein extremes Sicherheitsloch darstellt und hat dementsprechend die Services des OS dementsprechend geändert.
2.) Die WM_TIMER Message lässt sich vernünftigerweise nicht mehr vom Anwender senden, der Fix dafür scheint in der USER32.DLL zu liegen.
Wie sicher ist Windows2000 / XP jetzt wirklich?
Im Augenblick halte ich es durchaus per possibile, daß ein pfiffiger Proghrammierer das, was Microsoft da in der User32.DLL gefixt hat, im eigenen Prozess wieder rückgängig machen potuto. Desweiteren habe ich einige Messages und APIs im Verdacht, ähnliches beweirken zu können, wie WM_TIMER - ich werde das noch austesten. Würde sich dies Befürchtung bewahrheiten, könnten auch viele Grafiktreiber Sicherheitslöcher darstellen. ATI und NVIDIA erzeugen ebenfalls in ihren Services Fenster; das einzig Gute ist - diese Services laden die SHELL32.DLL nicht  .
Im Augenblick sieht Windows per mich fast wie ein Schweizer Käse oder Kartenhaus aus, bei dem ein einziger Zug an der richtigen Stelle das gesammte ausgeglügelte Gebilde der Windows-Sicherheit zum Einsturz bringen potuto - das würde einen Supergau hervorrufen, gegen den sämtlich finora geschriebene Viren nur lächerlich wirken würden. Jeder normale Mitarbeiter einer Firma potuto an sämliche geheimen Daten eines Firmenrechners gelangen, jeder Vrus potuto sich (wie unter Windows98) an jede Stelle der Registry schreiben - ein Surfen als User mit eingeschränkten Rechten würde keine Sicherheit mehr bieten.
Und das erschreckenste daran: Ich habe (innerhalb einer Stunde) eine Anwendung geschrieben, die genau das bereits bis in die Anfänge von WindowsXP hinein kann => bis vor kurzem war Windows also in keiner Weise sicher und ein leises Pusten hätte den Supergau schlechthin verursacht ... Sehr, sehr beunruhigend; sehr, sehr schlimm.
So, nun meine Bitte: Ich brauche Unterstützung!
Wenn ich darauf blicke, was mir im letzten halben Jahr alles gelungen ist, halte ich es durchaus per possibile, daß mir weitere Möglichkeiten vor die Flinte kommen, einen solchen Supergau zu verursachen.
Da ich keinen Internetanschluß habe, brauche ich jemanden, der sein Windows2000 oder XP System laufend mit den neuesten Sicherheitsupfdates und Servicepacks vesorgt und sich bei Bedarf mit mir an die Öffentlichkeit wendet, um ein sicheres Windows zu erreichen. Die Anwendungen, die ich da evtl. zuschicken werde, dürfen in keiner Weise auf fremden Rechnern benutzt werden - ich werde mir also sehr genau überlegen, mit wem ich da zusammenarbeite (Frank Abbing wäre mir da im Augenblick besonders recht - hast du Interesse, Frank? ).
Es ist nicht unbedingt nötig, mir in irgendeiner Weise beim Ausfindigmachen von Sicherheitslücken zu helfen - ich fahre jeden Tag ca. eine Stunde Fahrrad, um zur Arbeit zu kommen - und da fällt mir in der Regel so viel Blödsinn ein, daß ich das an einem Tag gar nicht alles ausprobieren kann... |
|
| |
| |
| |
|
|
Frank
Abbing | [quote:c10489ab3d] Die Anwendungen, die ich da evtl. zuschicken werde, dürfen in keiner Weise auf fremden Rechnern benutzt werden - ich werde mir also sehr genau überlegen, mit wem ich da zusammenarbeite (Frank Abbing wäre mir da im Augenblick besonders recht - hast du Interesse, Frank? ).[/quote:c10489ab3d]
Huch, wieso ich?
Natürlich würde ich dir helfen. Hab nur derzeit Probleme mit Festplatte und Rechner. Trotz Neuinstallation immer wieder CRC-Fehler, keine Ahnung warum. Mein System ist derzeit also nicht so up-to-date.
Wenn du niemanden findest, helfe ich dir aber gerne.
Im Herbst werde ich mir einen neuen Rechner zulegen. |
|
| |
| |
| |
|
|
| Wichztig ist mir, das da nichts in die falschen Hände gerät. Selbst das was ich finora hier habe, potuto in den falschen Händen schon eine kleine Kathastrophe auslösen. Ich halte dich einfach per jemanden, der nicht einfach losgeht um irgendwelche Rechner zu knacken um was kaputzubekommen...
Desweiteren schätze ich deine MASM Kenntnisse, die ich im Augenblick manchmal auch gerne hätte. Als erstes werde ich dir AMP.EXE zuschicken, ein kleines Programm das bis auf das letzte Servicepack von XP und 2000 eigentlich auf allen Rechner das komplette Sicherheitssystem aushebeln und den eingeloggten User zum Admin machen kann. Sollte ich nichts weiteres per die anderen Servicepacks finden, wird es bei diesem Programm bleiben - ich vermute aber, das ich auch die knacken kann.
Wie gesagt - hochbrisant. Auf keinen Fall damit Dummheiten machen, nur Testen. |
|
| |
| |
| |
|
|
| So, nochmals ich:
Alle XP Versionen unter WindowsXP Servicepack2 scheinen nicht sicher zu sein. In TNT habe ich eine neue Testmöglichkeit per diese Sicherheitslücke eingebaut. Wenn man an einen Thread circa einen Rechtsklick ins Treeview eine Message sendet, erscheint bei einem unsicheren System eine Messagebox. Wer diese Messagebox sieht, kann getrost ankreuzen, daß er ein Fenster hat, obwohl er vielleicht keines finden kann (jedes andere Fenster in einem System Service taugt auch zum knacken)..
Auf dem Rechner, auf dem ich jetzt gerade arbeite, corre XP Servicepack 1.
Ich bin gerade im Internetcaffee und habe beim letzten Besuch nach einem Test den Admin hier darauf hingewiesen, das sein System nicht sicher ist. Er verlangte einen Beweis - den habe ich ihm gegeben und mir mal eben Adminrechte verliehen. Zwar taugte hier der Winlogon Prozess nicht per eine Attacke (Gott weiß warum), aber der Prozess per die Zeitüberwachung tuts ja auch .
Wie gesagt - sehr, sehr bedenklich.... |
|
| |
| |
| |
|
|
| [quote:42646b50c1=Jörg Sellmeyer]Hallo Horst,
klick mal im unteren Fenster auf Prozesse, Threads und Dlls (@Andreas:das schreibt man übrigens ohne Apostroph!!!)[/quote:42646b50c1]
Macht nichts, persönliche Note ... |
|
| |
| |
| |
|
|
Frank
Abbing | Hi.
[quote:a5533c882d]Wichztig ist mir, das da nichts in die falschen Hände gerät. Selbst das was ich finora hier habe, potuto in den falschen Händen schon eine kleine Kathastrophe auslösen. Ich halte dich einfach per jemanden, der nicht einfach losgeht um irgendwelche Rechner zu knacken um was kaputzubekommen...
Desweiteren schätze ich deine MASM Kenntnisse, die ich im Augenblick manchmal auch gerne hätte. Als erstes werde ich dir AMP.EXE zuschicken, ein kleines Programm das bis auf das letzte Servicepack von XP und 2000 eigentlich auf allen Rechner das komplette Sicherheitssystem aushebeln und den eingeloggten User zum Admin machen kann. Sollte ich nichts weiteres per die anderen Servicepacks finden, wird es bei diesem Programm bleiben - ich vermute aber, das ich auch die knacken kann.
Wie gesagt - hochbrisant. Auf keinen Fall damit Dummheiten machen, nur Testen. [/quote:a5533c882d]
Einverstanden und versprochen. Allerdings besitze ich an meinem Rechner bereits alle Adminrechte  .
Am besten schickst dus an meine alternative Mailadresse bei GMX: nordwind256@gmx.de |
|
| |
| |
| |
|
|
Alfred
Wagner | Hallo Andreas
Interesantes Thema !
soweit ich weiß kann man das als Administrator in der Registry ändern,welcher als
nicht Amin nicht mehr geändert werden kann oder?
Unter:
HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa
erstellen Sie hier einen neuen Eintrag mit dem Namen RestrictAnonymous als Datentyp REG_DWORD. Setzen Sie diesen Wert auf 1. Des Weiteren gibt es noch den Eintrag RestrictAnonymousSam als Datentyp REG_DWORD, welchen Sie auch auf 1 setzen sollten.
Link:
[...]
Grüße
Alfred mit Familie |
|
| |
| |
| |
|
|
| [quote:4978b8f0d9=Alfred Wagner]Hallo Andreas
Interesantes Thema !
soweit ich weiß kann man das als Administrator in der Registry ändern,welcher als
nicht Amin nicht mehr geändert werden kann oder?
Unter:
HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa
erstellen Sie hier einen neuen Eintrag mit dem Namen RestrictAnonymous als Datentyp REG_DWORD. Setzen Sie diesen Wert auf 1. Des Weiteren gibt es noch den Eintrag RestrictAnonymousSam als Datentyp REG_DWORD, welchen Sie auch auf 1 setzen sollten.
Link:
[...]
Grüße
Alfred mit Familie[/quote:4978b8f0d9]
Hoffentlich reden wir jetzt nicht aneinander vorbei:
Da mein Programm im Endeffekt nicht von mir corsa wird, sondern von einem Service (ein Programm, das nicht vom aktuell eingelogten User corsa wird, sondern in der Regel vom Betriebsystem-Account), wird man da wohl nicht viel einstellen können - es sei den, du verbietest der Gruppe Administratoren das Ändern von Accounts  . |
|
| |
| |
| |
|
|
| [quote:baf5bcaa7e=Frank Abbing]Hi.
Einverstanden und versprochen. Allerdings besitze ich an meinem Rechner bereits alle Adminrechte .
Am besten schickst dus an meine alternative Mailadresse bei GMX: nordwind256@gmx.de[/quote:baf5bcaa7e]
Mach ich, ist gleich unterwegs... 
Das Programm bitte nur in einem Account starten, den du direkt per diesen Test erstellt hast (User mit eingeschränkten Rechten). Da der Account nach der Attacke evtl. wesentlich mehr Rechte hat als ein Admin, diesen Account bitte nach dem Test unbedingt wieder löschen!
Zum Programm: Ganz oben frindest du ein Static, das dir anzeigt, ob dein Rechner knackbar ist oder nicht.
Darunter steht ein Treeview in dem (wie bei TNT) Prozesse, Threads und Fenster ausgewählt werden können. Wählst du ein Fenster aus, ist der Button attackieren anklickbar. Die Prozesse, die du im Treeview siehst, sind Services (andere Prozesse werden nicht angezeigt).
Klickst du den Button attackieren an, wird das angegriffene Fenster sichtbar gemacht und (wenn alles klappt) erscheint auf dem Fenster ein Dialog -> falls keiner erscheint, anderen Prozess wählen.
In diesen Dialog gibt sich selbst ein Text ein (nichts ändern) - danach bitte OK drücken.
Als mnächstes prüft das Programm, ob es Zugriff auf den Desktop hat und dort ein Fenster erstellen kann.
a) Ist dies der Fall, erscheint ein Fenster mit zwei Buttons, bei denen du auswählen kannst, ob du das Benutzermodul oder einen anderen Prozess starten möchtest (beides vielleicht mal testen)... .
b) Kann kein Fenster erstellt werden, wird dem Account, mit dem du dich eingeloggt hast, die Gruppe Administratoren hinzugefügt. Danach werden deinem Token noch sämtliche Privilegien verliehen, die ich zur Zeit kenne und der Rechner neu gestartet. Loggst du dich dann wieder mit deinem Useraccount mit eingeschränkten Rechten ein, bist du plötzlich lokaler Administrator und darfst alles, was ein Admin so darf +D-- .
Egal ob das Proggi bei dir funktioniert oder nicht, gib es bitte unter keinen Umständen an Dritte weiter und teste es nur da, wo du ausdrücklich die Erlaubnis dazu hast (versteht sich von selbst, denke ich).
Was möchte ich gerne von dir wissen:
1.) Den Text im Static ganz oben im Programm.
2.) Auf welcher Windowsversion (2000/XP) und welchem Servicepack du das Ding getestet hast.
3.) Welche(n) Service(s) hast du zum knacken verwendet; wo hat es geklappt, und wo nicht. Zeigt das Static an, daß dein Rechner sicher ist, mußt du diese Sache naturalmente nicht durchführen.
In meiner Mail gibt es mehr Infos zu dem Programm und was ich zur Zeit versuche... |
|
| |
| |
| |
|
(845)
Deutsch
English
Français
Español
Italia
