Adminrechte per Mausklick: gefährliche Lücke in Windows

Besonders gefährdet sind 32-Bit-Terminalserver, auf die sich normale Benutzer intern oder über das Internet anmelden können. Sie werden meist von vielen Anwendern genutzt, häufig auch von Top-Managern, die Zugang zu vertraulichen Daten haben und diese möglicherweise dort lokal abspeichern.

Mit einer guten Überwachung ist ein Angriff mit dem VDM-Exploit leicht zu entdecken. Ein Administrator wird schnell Verdacht schöpfen, wenn Prozesse wie winword.exe, outlook.exe oder explorer.exe unter dem System-Account laufen.

Generell bieten sich für einen Angreifer zwei Strategien an. Eine davon ist, sein eigenes Benutzerkonto in die lokale Administratorengruppe aufzunehmen. Das lässt sich beispielsweise aus der Konsole mit dem Befehl net localgroup administrators <[Domainname]Benutzername> /add erreichen.

Wenn der Terminalserver kein Domaincontroller ist, wird das nur in der lokalen SAM-Datenbank gespeichert. In der Active-Directory-Datenbank ist nichts Verdächtiges zu finden. Danach kann der Angreifer die System-Konsole wieder schließen und unter seinem Account mit Administratorrechten arbeiten. Der Angreifer kann darauf hoffen, dass die wenigen Sekunden, in denen cmd.exe unter dem System-Account lief, nicht entdeckt werden.

Für den Fall, dass die lokale Administratorgruppe regelmäßig auf verdächtige Neuzugänge überprüft wird, bietet sich die zweite Strategie an, vom System-Account aus direkt eine fremde Identität anzunehmen. Das ist ohne eine Prüfung von Credentials möglich, etwa Kennwort, Fingerabdruck, oder Smartcard.