1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Plug and Play: Adminrechte…

Wegen den vielen "Hä?" Fragen hier

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wegen den vielen "Hä?" Fragen hier

    Autor: SVEN.L.MI 26.08.21 - 11:45

    Ich schreibe das mal auf, um das ein wenig aus der technischen Schicht auf "Normalo" Welt zu heben.

    Wenn ihr folgende Seite suchen geht
    (Ich muss das umschreiben wegen dem Spamschutz :( )

    Suchen über google:
    partner microsoft hardware search

    Erster Link ist die Suche!

    Ihr findet sowohl Steelseries als auch Razor als "vertraute" Partner von Microsoft.

    D. h. deren Treiber werden von Microsoft auch verteilt und dann mit einen erhöhten Recht unter Windows ausgeführt.

    Dabei wird keine UAC mehr angewendet. D. h. ihr bekommt kein "Pop-up" mit "benötigt" Adminrechte, sondern es wird von Microsoft davon ausgegangen, das gewissen Entwicklungsschritte und Regeln eingehalten wurden, die dieses Recht per se gewähren.

    Vergleichbar wäre dies mit einem Hausmeister, der einen Lieferanten XYZ immer und ohne Kontrolle ins Lager lässt, weil dem Lieferanten vertraut.

    Das ist hier auch so bei der Hardware und den zugehörigen Treibern. Da diese mit einem Recht ausgeführt werden, welche sogar höher ist als der Administrator, kann mit diesem Prozess einiges an Unsinn ausgeführt werden.

    Was bei Windows unter "nt authority/system" ausgeführt wird, ist sozusagen ein "Superadmin" auf dem System.

    Dieses fest eingebaute Account, wird z. B. auch von Microsoft verwendet, um Updates und Co. einzuspielen. Dabei werden sowohl die sichtbaren Prozesse mit diesem hohen Recht ausgeführt, aber auch eben aufgerufene Shells (Command, Powershell usw.)

    Das macht sich nun dieser Angriff zu Nutzen, indem man aus dem Installationsprozess per Rechtsklick ein weiteres Fenster startet und dieses Slave Fenster die Rechte von dem hohen Prozess erbt.

    Der obige Link ist nun sozusagen auch eine Liste von potenziell betroffenen Installationen. Denn jeder Partner und Trusted Partner kann Installation unter diesem hohen Recht ausführen, ohne das nachfragen vom System erfolgen.

    Alles in allen ist hier ein Denkfehler von Microsoft gewesen, das man die Prozesse laufen lässt und alle "normalen" Funktionen von Windows weiterhin aktiv lässt. Hierdurch gehen eben Rechtsklick, aber auch Programme, die sich in den Prozess einklinken, und können diesen hohen Systemprozess nutzen, um Unsinn auf dem System zu treiben.

    Man kann nun die Schuldfrage stellen und bei den Herstellern die Treiber so bauen, dass ein "normaler" Dialog genutzt wird, um eine Lokation für die Installation zu wählen oder sinniger von Microsoftseiten die entsprechenden Unterprozesse stärker beschränken.

    Jedoch geht so was nicht über Nacht zu lösen, muss doch hierzu erst einmal eine ganze Reihe von Tests erfolgen, damit die nun funktionierenden Installationen in Zukunft nicht Fehlschlagen.

    Respektive wäre der erste Workaround, das man die UAC Abfrage für alle Installation aktiviert, egal ob Trusted oder eben nicht.

    Das zieht aber einen Verwaltungsakt nach sich und ggf. auch Strafen können Hersteller doch gerade damit Werben, das ein Eingabegerät auch einfach auf einem beschränkten Rechner in Betrieb genommen werden kann.

  2. Re: Wegen den vielen "Hä?" Fragen hier

    Autor: Emulex 26.08.21 - 15:58

    Danke für die Erklärung, diese trusted-Geschichte hat mir gefehlt.
    Damit ist das zumindest nicht von jedem entsprechend zurechtgebastelten Gerät möglich.

    Dennoch mehr als fragwürdig, wie Microsoft das handhabt.
    Zumal das ja ein eher sehr seltens Szenario ist, dass irgendjemand seine Maus an einen fremden Rechner anschließt und dann uuuuuunbedingt den perfekten Treiber samt Software benötigt.
    Dafür die Sicherheit des Systems zu opfern ist vollkommen bescheuert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Java / Kotlin Developer*in (m/w/d)
    Haufe Group, Freiburg
  2. Fachinformatiker (w/m/d) Schwerpunkt Microsoft Client, Server
    Computacenter AG & Co. oHG, verschiedene Standorte
  3. Anwendungsberaterin / Anwendungsberater (w/m/d) SAP-Lösungsplanung und Projektkoordination
    Berliner Stadtreinigungsbetriebe (BSR), Berlin
  4. System Engineer Microsoft - Schwerpunkt Client-Design und Active Directory-Design
    Computacenter AG & Co. oHG, Ratingen, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Warhammer: Chaosbane Slayer Edition für 11,99€, WRC 8 FIA World Rally Championship für 9...
  2. (u. a. Mafia: Definitive Edition für 18,99€, GTA 5: Premium Online Edition für 14,99€, The...
  3. 72,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de