Sicherheitslücke: Remotecodeausführung in Gruppenrichtlinien beheben

Im Februar-Patch behandelt Microsoft eine wichtige Sicherheitslücke, die Angreifern ermöglicht, Schadcode auf den PCs von Anwendern auszuführen.

Betroffen ist dabei die Funktion zur Ausführung von Batch-Dateien und Skripten – beispielsweise bei der Anmeldung am Client – auf allen Windows Client- und Server-Systemen (ab Windows Vista/Windows Server 2003).

Durch die Installation des Patchs und die Einrichtung der neuen Einstellung in den Gruppenrichtlinien „UNC Hardened Access“ können Sie die Sicherheitslücke durch das Nachladen von Skripten und die Ausführung von Schadcode durch deren Manipulation schließen.

Index

Sicherheitslücke durch Nachladen von Skripten

Ein Man-in-the-Middle-Angriff für die Remotecodeausführung könnte so verlaufen:

Ein Angreifer überwacht den Traffic in einem Firmennetzwerk.
Er sieht, dass Clients bei der Anmeldung eine Datei von dem UNC-Pfad \\10.0.0.100\Share\Login.bat anfordern.

Der Angreifer setzt nun einen Share auf seiner eigenen Maschine auf.
Dabei entspricht der UNC-Pfad genau dem Pfad, mit dem das Opfer die Datei anfordert (\\*\Share\Login.bat).
Die Batch-Datei auf der Maschine des Angreifers enthält dabei natürlich nicht (nur) die originale Funktion, sondern auch den Schadcode, der auf dem PC des Anwenders ausgeführt werden soll. Schließlich modifiziert der Angreifer am entsprechenden Switch den ARP-Table, der für die Auflösung der Adressen im Netzwerk verantwortlich ist.

Man-in-the-Middle Angriff | Quelle: Microsoft

Beim nächsten Login wird dann nicht die Batch vom eigentlich verantwortlichen Server, sondern von der Maschine des Angreifers angefordert. Diese wird dann über den lokalen Nutzeraccount oder sogar dem SYSTEM-Account ausgeführt und kann dem Angreifer Zugang zu dem System verschaffen.

Der Angreifer könnte unter Umständen:

Programme installieren
Dateien löschen oder manipulieren oder gar
neue Benutzerkonten mit Administratorrechten anlegen.

Gruppenrichtlinie: UNC Hardened Access

Um diesen sogenannten „Man-in-the-Middle-Angriff“ zu unterbinden, führt Microsoft mit dem Patch KB3000483 den gesicherten UNC-Zugriff („UNC Hardened Access“) als Gruppenrichtlinie ein. Durch verschiedene Einstellungen wird hier dafür gesorgt, dass der Client bei UNC-Anfragen die Identität des Servers immer überprüft und somit einen Man-in-the-Middle-Angriff identifizieren und enttarnen könnte.

Doch nur mit der Installation des Patchs allein ist es nicht getan.

Anleitung: Gesicherten UNC-Zugriff einrichten

Die Funktion ist standardmäßig deaktiviert und muss noch durch einen Admin konfiguriert werden. Dazu geht man folgendermaßen vor:

1. Installieren Sie das Sicherheitsupdate direkt über Windows Update oder laden Sie sich die entsprechende Version im Download Center von Mircosoft herunter.

2. Melden Sie sich am Server mit Administratorrechten an und öffnen Sie die Konsole zum Verwalten der Gruppenrichtlinien. Navigieren Sie anschließend im Baum links zu der gewünschten Domäne und wählen Sie dann das Gruppenrichtlinienobjekt aus, dass Sie bearbeiten möchten. Öffnen Sie das Kontextmenü und wählen Sie Bearbeiten (Edit) aus.

3. Navigieren Sie in der Editorkonsole für das Gruppenrichtlinienobjekt zu dem Pfad Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkanbieter (Englisch: Computer Configuration/Administrative Templates/Network/Network Provider). Dort finden Sie die neue Einstellung Hardened UNC Paths (Abgesicherte UNC-Pfade). Öffnen Sie wieder das Kontextmenü und wählen Sie Bearbeiten (Edit) aus.

4. Aktivieren Sie in den Einstellungen das Optionsfeld Aktiviert (Enabled), damit die abgesicherten UNC-Pfade wirksam werden. Um festzulegen, für welche UNC-Pfade welche Überprüfungen durchgeführt werden sollen, scrollen Sie im Bereich Optionen, bis Sie die Schaltfläche Anzeigen (Show) sehen und klicken Sie diese.

5. Es öffnet sich eine Tabelle, in der Sie in die linke Spalte einen UNC-Pfad und in die rechte Spalte eine entsprechende Option, die für diesen Pfad gelten soll, eintragen können. Der UNC-Pfad kann in einem der folgenden Formate angegeben werden:

\\<Server>\<Freigabe>: Der Konfigurationseintrag gilt für die Freigabe, die auf dem angegebenen Server den angegebenen Namen hat.
\\*\<Freigabe>: Der Konfigurationseintrag gilt für die Freigabe, die auf einem beliebigen Server den angegebenen Namen hat.
\\<Server>\*: Der Konfigurationseintrag gilt für alle Freigaben auf dem angegebenen Server.

Für die Spalte Wert (Value) auf der rechten Seite stehen Ihnen pro Eintrag drei Optionen zur Verfügung:

RequireMutualAuthentication=1: Vom UNC-Anbieter wird gefordert, dass dieser die Identität des Remoteservers authentifizieren kann. Durch die zusätzliche Identifikation des Servers gegenüber dem Client sollen Man-in-the-Middle-Angriffe verhindert werden können.
RequireIntegrity=1: Client und Server setzen Prüfsummen ein, um die Integrität der Daten zu gewährleisten und somit deren Manipulation unterbinden zu können.
RequirePrivacy=1: Client und Server müssen zum Datenaustausch eine Verschlüsselung verwenden, sodass die Inhalte der Kommunikation von einem Dritten mit Lesezugriff nicht gelesen werden können.

Diese Einstellungen für die Gruppenrichtlinien können auch für einzelne UNC-Pfade explizit ausgeschalten werden, indem hinter dem Gleicheitszeichen nach der Einstellungen als Wert eine 0 statt einer 1 angegeben wird. Mehrere Einstellungen werden mit Komma getrennt.

6. Klicken Sie abschließend zwei Mal auf OK, um Ihre Eingaben zu bestätigen. Sie können nun Ihre Einstellungen auf einem PC testen, für den das geänderte Gruppenrichtlinienobjekt gilt. Melden Sie sich dazu an dem PC an und führen sie in der Konsole den Befehl gpupdate /force aus. Eventuelle Fehler bei den Einstellungen finden Sie anschließend in der Ereignisanzeige unter: Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows \Netzwerkanbieter\Betrieb (Englisch: Event Viewer\Application and Services Logs\Microsoft\Windows\Networkprovider\Operational)

Die Ausführung diese Updates wird, um die Sicherheit des Firmennetzwerkes und der darin befindlichen Computer gewährleisten zu können, für alle Gruppenrichtlinien empfohlen, die über Remoteserver Batch-Dateien und andere Skripte nachladen.