Nulldagssårbarhet i Microsoft Windows - oppdatering

Publisert: 24.09.2018

Vi i NorCERT ønsker å informere om mulige skadereduserende tiltak mot nulldagssårbarheten i Microsoft Windows vi varslet om i NorCERT-varsel per 28. august.

Våre samarbeidspartnere har informert oss om to mulige tiltak for å mitigere sårbarheten. Det første tiltaket hindrer alle brukere fra å hardlinke fra "c:\windows\tasks", det andre tillater kun administratorere
å opprette hardlinker.

1.

Man kan fjerne muligheten til å lage hardlinker i mappen "c:\windows\tasks". Dette kan gjøres med det grafiske brukergrensesnittet ved å sette et adgangskontrollinnslag (eng. Access Control Entries, eller ACE) på
"c:\windows\tasks" med følgende egenskaper:
- - Type : Deny
- - Principal : EveryOne
- - Apply to: This folder, subfolders and files
- - Rights : Create files / write data and Create folders / append data

Alternativt kan det gjøres fra kommandolinja: cacls c:\Windows\Tasks /S:"D:PAI
(D;OICI;DCLC;;;WD)(A;;0x1200ab;;;AU)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(A;;FA;;;
SY)(A;OICIIO;GA;;;SY)(A;OICIIO;GA;;;CO)"

For å fjerne beskyttelsen igjen for å tillate hardlinker: cacls
c:\Windows\Tasks /S:"D:PAI(A;;0x1200ab;;;AU)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(
A;;FA;;;SY)(A;OICIIO;GA;;;SY)(A;OICIIO;GA;;;CO)"

2.

Følgende kommandoer kjøres som administrator:
icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

Mer info om dette kan leses her [1]. CERT/CC lenker videre til en bloggpost om hvordan man kan oppdage et angrep med sårbarheten her [2].

Så snart sikkerhetsoppdateringer foreligger anbefales det å fjerne disse midlertidige tiltakene for å sikre at systemet fungerer som normalt.

  1. https://www.kb.cert.org/vuls/id/906424
  2. https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f