Skip to content

MS15-011: Vulnerability in Group Policy could allow remote code execution: February 10, 2015

by Hendrik Frentzen on März 16th, 2015

Problembeschreibung:
Die Security Configuration Engine verarbeitet Gruppenrichtlinien, Herkunft und Integrität der GPOs werden dabei nicht überprüft. Durch Manipulation auf Netzwerkebene ist es möglich die Zugriff auf Sysvol-/Netlogon-Verzeichnisse umzuleiten und somit Clients/Servern andere GPOs unterzuschieben.

Dadurch kann Schadcode unbemerkt eingeschleust werden.

Maßnahme:
Der Patch KB3000483 für alle Clients ab Windows Vista und Serversysteme ab Windows Server 2008 führt das Feature „UNC Hardened Access“ ein. Dadurch wird eine gegenseitige Authentifizierung von Client und Server (Mutual Authentication) sowie das signieren von SMB-Traffic ermöglicht.

Eine Gruppenrichtlinie steuert die Aktivierung des Features „UNC Hardened Access“ für bestimmte Pfade nach Bedarf.

Einschätzung:
Die Installation des KB3000483 sollte zeitnah erfolgen, mit Funktionsbeeinträchtigungen ist nicht zu rechnen, ohne abgeschlossene Konfiguration (GPO) wirkt sich der Patch nicht aus.

Vor einer produktiven Aktivierung von „UNC Hardened Access“ muss zwingend die Kompatibilität aller Clients sichergestellt werden. Die Konfiguration sollte in der Test-/Abnahmeumgebung verifiziert werden.

Hinweis:
Mit Windows 7 und Windows 8.1 durchgeführte Tests haben ergeben, dass auch die vermeintlich ungünstige Konstellation „Client ohne KB3000483 und aktivierte GPO für UNC Hardened Access“ nicht zu Problemen führt. Das Feature ist ein reines Clientfeature, ohne installierten Patch KB3000483 gibt es keine Änderung des Zugriffsverhaltens.

Dennoch wird empfohlen die GPO nur auf unterstützte Systeme auszurollen!

Installationsanweisungen:
1.
Zur Behebung der Lücke ist es notwendig die per Windows Update bereitstehenden Updates KB3004375 und KB3000483 auf allen Clients und Servern einzuspielen.

Bei der Installation von KB3000483 über Windows Update oder WSUS wird KB3004375 transparent mitinstalliert. Die Installation erfordert einen Neustart des Betriebssystems!

2.
Zur Konfiguration der Gruppenrichtlinie muss das Update KB3000483 auf dem verwendeten System bereits installiert sein, sonst fehlt das notwendige .admx-Template.

Die Best-Practice-Konfiguration für die UNC Hardened Access GPO – schützt Sysvol und Netlogon:

\\*\NETLOGON      RequireMutualAuthentication=1, RequireIntegrity=1

\\*\SYSVOL        RequireMutualAuthentication=1, RequireIntegrity=1

Dadurch wird die Mutual Authentication sowie die Signierung des SMB-Verkehrs für die angegebenen Pfade aktiviert.

Zur weiteren Steigerung der Sicherheit könnte die Verschlüsselung des SMB-Verkehrs über „RequirePrivacy=1″ aktiviert werden. Dazu ist eine funktionsfähige Domänen-PKI notwendig, da Client- als auch Server über ein Zertifikat zur Verschlüsselung verfügen müssen.

Auch aus Performancegründen ist diese Option nicht ohne spezifische Notwendigkeit zu empfehlen.

 

3.
Um auszuschließen, dass nicht unterstützte Systeme die GPO anwenden wird über die GPMC ein WMI-Filter erstellt:

SELECT * FROM Win32_QuickFixEngineering WHERE HOTFixID = ‚KB3000483‘

 

4.
Der WMI-Filter wird mit der Richtlinie verknüpft


5.
Über „rsop.msc“ oder „gpresult /v“ kann überprüft werden ob die Gruppenrichtlinie angewendet wurde.

KB3000483 nicht installiert:

KB3000483 installiert:

 

6.
Die generelle Wirksamtkeit der o.g. Maßnahmen wurde in folgendem Szenario geprüft:
Zwei Fileserver mit identischem Netbios Namen und identischer IP, einer der Fileserver ist Domänenmitglied, der andere Fileserver nicht. Beide Fileserver haben zwei identisch konfigurierte Shares mit „Jeder“ Share- und NTFS-Berechtigungen

Für ein Share wurde „UNC Hardened Access“ konfiguriert. Zunächst ist nur der Fileserver in der Domäne aktiviert – die Zugriffe auf beide Shares funktionieren einwandfrei. Der Fileserver in der Domäne wird heruntergefahren, und der andere Fileserver wird gestartet.

Der Zugriff ist nur noch auf das nicht durch „UNC Hardened Access“ geschützte Share möglich.

Beim Zugriff auf das geschützte Share kommt es zu einer Anmeldeaufforderung:

Selbst durch eine korrekte Anmeldung ist kein Zugriff möglich.

Dies zeigt die korrekte Funktion von „UNC Hardened Access“ bzw. der Mutual Authentication. Ein nicht Domänenclient kann sich natürlich nicht gegenüber einem Domänenserver authentifizieren – und umgekehrt funktioniert dies ebenfalls nicht.

Ein Netzwerkseitige Attacke durch spoofing einer IP-Adresse ist also nicht mehr möglich.

From → Microsoft, Sicherheit