Kwetsbaarheid in Microsoft Windows

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Kwetsbaarheid in Microsoft Windows
Advisory ID     : NCSC-2018-0785
Versie          : 1.02
Kans            : high
CVE ID          : CVE-2018-8440
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20180911
Toepassing      : 
Versie(s)       : 
Platform(s)     : Microsoft Windows 7
                  Microsoft Windows 8
                  Microsoft Windows 10
                  Microsoft Windows Server 2008
                  Microsoft Windows Server 2012
                  Microsoft Windows Server 2016

Update
   Microsoft heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Beschrijving
   Er bevindt zich een kwetsbaarheid in de Advanced Local Procedure
   Call (ALPC). Dit is een basiscomponent van Microsoft Windows. Met
   deze kwetsbaarheid is het voor een kwaadwillende mogelijk om
   verhoogde rechten te verkrijgen.
   
   Deze kwetsbaarheid is te misbruiken door een lokaal ingelogde
   gebruiker of door een proces dat in staat is om op verzoek code uit
   te voeren. 
   
   De onderzoeker heeft zijn werk inclusief Proof-of-Concept-code (PoC)
   via twitter publiek gemaakt en voorzover bekend niet eerder bij
   Microsoft gemeld. De PoC is door het NCSC getest op up-to-date
   Windows 10, 2012R2 en 2016 systemen en werkend bevonden. Er is op
   dit moment nog geen patch beschikbaar om deze kwetsbaarheid te
   verhelpen. Zodra er meer bekend is zullen wij dat via een update van
   dit advies mededelen.
   
   Meer informatie over de kwetsbaarheid kunt u vinden op:
   https://www.kb.cert.org/vuls/id/906424

Mogelijke oplossingen
   Microsoft heeft updates beschikbaar gesteld waarmee de beschreven
   kwetsbaarheden worden verholpen. We raden u aan om deze updates te
   installeren. Meer informatie over de kwetsbaarheid, de installatie
   van de updates en eventuele workarounds vindt u op:
   
   https://portal.msrc.microsoft.com/en-us/security-guidance
   
   Het NCSC heeft samen met partners een mitigatie getest. Deze
   mitigatie kan in veel gevallen de aanval voorkomen, beperken of
   complexer maken voor een kwaadwillende.
   
   Door de NTFS permissies aan te passen voor de folder
   'c:\windows\tasks' is het mogelijk om te voorkomen dat een
   kwaadwillende in staat is om een hard link aan te maken. Dit is te
   realiseren door in de geadvanceerde permissies voor de
   'AUTHENTICATED_USERS' de permissie  voor 'Create files / write data'
   te verwijderen.
   Deze minimale wijziging is in de meeste gevallen voldoende, echter
   kan het soms nodig zijn om de rechten verder in te perken
   bijvoorbeeld door het verwijderen van alle rechten van de
   'AUTHENTICATED_USERS' en 'SYSTEM' permissies.
   
   Bij nieuw geinstalleerde systemen is deze folder leeg op het bestand
   'SA.dat' na. Bij sytstemen die al enige tijd draaien kunnen er
   bestanden aanwezig zijn die geplaatst zijn tijdens updates van
   Windows of door beheerders zelf.
   Daarom is het nodig om de folder te controleren op reeds aanwezig
   bestanden, omdat deze bestanden via de 'CREATOR OWNER' andere
   rechten hebben en de gebruikersaccount van dat bestand alsnog in
   staat is deze te misbruiken. Voor zover wij bestaande bestanden op
   systemen hebben aangetroffen, waren deze niet toegankelijk voor
   reguliere gebruikers maar het kan in sommige gevallen dus nodig zijn
   om op deze specifieke bestanden de schrijf rechten te ontnemen.
   
   Na deze aanpassing zijn er geen functionele problemen waargenomen in
   de Task Scheduler en blijft het mogelijk om taken aan te maken en
   uit te voeren (ook door reguliere gebruikers). De configuratie
   bestanden worden namelijk in een andere folder geplaatst en deze
   folder lijkt door deze kwetsbaarheid niet te misbruiken.
   
   Het is mogelijk dat deze mitigatie niet voor alle installaties
   correct functioneert, of problemen kan geven met het uitvoeren van
   specifieke taken op het systeem. Wij raden dan ook aan om de
   wijziging vooraf te testen.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 824)
Charset: utf-8

wsDVAwUBW5gCJiZzjw7WtN6KAQh16Av+Ig6IjONBcIqgFmDouwZIEeO3djwJ2n1c
u17TcOEEx0pym9rzGEqyEu8EF2k22Z8x+4zTz09WMaq6KZDwfdg8ldD41coIAxRz
y1QNyrUjmpNTItjdy86CyQ8A62bxMqPD5NesnKKPbbj1KpnJWvSsrbXL8GRalcpB
uM69+GV3IK457uwEsHpxsbJhPPBsDqRbKPsvCfWzUG2Wyli0+63Tq1iC9ywUtVQ4
yR+7BbHOYuUJhFNZmuLlrxbeaLv8J0W4EN+ZrHRSnpJdfzOF85RdaBGmo60U3xSC
2BcUW8UCR3X8M1W2OHFfoBcJDvw0Ydzqhc5jEzlKpRJlnH5b6Ku6lQ0IyqWJrjw3
70sFothASGm0Nils3SM3EjnQRdOP43w+Ym/ni78u3wOtc3jQmopDmesi55knrCe6
kEc/mSJSiCdmEHNAQweDP3LYjigiIZhQwElY45fg56qUYoOYQrNuhtAG0vIDqclF
OwcAF74qORFhBNkO293Osmn8+S26Vy9a
=nNCY
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig