Wie bereits zahlreich berichtet ist nun ein Exploit in Umlauf, mit dem diese Sicherheitslücke relativ einfach ausgenutzt werden kann. einfach die vdmallowed.exe Datei doppelklicken und schon öffnet sich eine Shell, die dem Benutzer Systemrechte gibt.
Tippt man nun in diese Shell den Befehl:
net localgroup administratoren "Benutzername" /add
ein ist man auch schon in der Gruppe der Lokalen Admins.
Ein User kann damit doch einiges anstellen, wenn auch nur am lokalen Rechner.
Die Sicherheitslücke findet sich in der Virtual DOS Machine (VDM), mit der 16Bit-Anwendungen ausgeführt werden können.
Der von Tavis Ormandy veröffentlichte Exploit funktioniert unter Windows XP, Server 2003, Vista, Server 2008 und Windows 7 jeweils in der 32Bit-Edition. Bereits im Sommer 2009 wurde Microsoft informiert, bislang passierte allerdings nichts. Da das Problem recht einfach beseitigt werden kann, veröffentlichte er den Exploit.
Nun hat Microsoft doch auf die Bedrohung reagiert und ein Security Advisory herausgegeben.
Unsere Versuche mit XP Pro hatten zunächst keinen Erfolg, weil ein aktueller Kaspersky AV die Ausführung verhindert mit der Meldung:
Exploit.Win32.THAUS.a
Es bleibt nur die Möglichkeit die Datei zu löschen oder zu blockieren.
Ohne Kaspersky hatten wir im Handumdrehen Adminrechte. Auch mit installierten MS Security Essentials funktioniert der Exploit.
Bis das gepatcht ist empfiehlt es sich, die 16Bit Umgebung via GPO zu deaktivieren, oder aber einen entsprechenden Registryeintrag zu setzen. Erstellen sie dazu eine .reg Datei mit folgendem Inhalt.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat] "VDMDisallowed"=dword:00000001
Diese Datei dann einfach doppelklicken.
Der Exploit funktioniert jedoch nicht, wenn Windows nicht auf der Partition c: installiert ist, da er eine Shell öffnet, indem er das Programm: C:\Windows\System32\cmd.exe startet.
Ausserdem erkennen mittlerweile die meisten Antimalwareprogramme und Virenscanner den Originalexploit.
Aber auch das lässt sich relativ leicht umgehen.
Wie ist bei ZDnet beschrieben.