Sicherheitslücke in Vista & XP, Messenger-Live mit Admin-Rechten Einstellungen

[Zafer]

Hallo,
ich wollte euch (falls noch nicht bekannt) die von mir entdeckte Sicherheitslücke beschreiben.

Dank Messenger-(Live) von Microsoft bekommt man Admin-Zugriffe. Ist sehr leicht zu reproduzieren:

Folgendes Szenario spielte sich bei mir und meiner Freundin ab:

Sie immer Standartbenutzer-Profil mit Einschränkungen, nur ich habe Admin-Rechte!
- sie als eingeschränkter Nutzer war unter Windows angemeldet
- wollte Erweiterungen für Messenger downloaden bzw. installieren "MessengerPLUS"
- da ich Admin-rechte habe startete ich den Messenger unter Win-XP "ausführen als" bzw. unter Vista "Als Administrator ausführen", mit meinen Admin-Daten
- installierte die Erweiterungen und loggte mich aus Messenger aus
- DA MESSENGER NUN ABER IMMER NOCH IM HINTERGRUND LIEF mit !!!ADMIN-RECHTEN!!!, konnte meine Freundin nachdem sie sich mit Ihren MSN-Daten einloggte ohne Einschränkungen an meine Daten, in Systemordner,... hatte also auch Admin-rechte.
Beispiel:
- Man wählt einen Kontakt der online ist aus
- wählt danach "der Person eine Datei senden" in dem Fenster welches sich jetzt öffnet kann man nach Lußt und Laune im Rechner stöbern. Egal ob es die eigenen oder der anderen Benutzern die Daten/Verzeichnisse sind. Auch zu den Systemordnern hat man Zugriff!
Dies funktioniert bis man Messenger richtig beendet oder nach einem richtigen reboot.

MfG
Zafer B.

Peinlich das das auch unter Vista funktioniert, welches doch so lange programmiert wurde um es sicherer zu machen.

[Gast_Jens1962_*]

die von mir entdeckte Sicherheitslücke beschreiben.

Ich schlage vor, wir nennen diese Lücke Zafer.
Du startest einen Prozeß mit Adminrechten, beendest diesen Prozeß nicht und beschwerst Dich dann, daß der Prozeß mit Admin-Rechten läuft - soll Windows hellsehen

Jens

[Voyager]

Ich empfehle, geb das Vista zurück .

[Zafer]

Ich schlage vor, wir nennen diese Lücke Zafer.
Du startest einen Prozeß mit Adminrechten, beendest diesen Prozeß nicht und beschwerst Dich dann, daß der Prozeß mit Admin-Rechten läuft - soll Windows hellsehen

Jens

Lücke ZAFER

Nein Windows soll nicht hellsehen! Aber Messenger sollte wie auch der EXPLORER nicht mit "Ausführen als" bzw. unter Vista "Als Administrator ausführen" starten lassen.

[Gast_Jens1962_*]

sollte...nicht mit "Als Administrator ausführen" starten lassen.

Deine "Logik" ist einfach umwerfend.
Wer soll im Zweifel auf dem Rechner Programme ausführen dürfen, wenn nicht der Admin? Etwa Bill Gates selbst?
Wenn der Admin nicht weiß, was er tut, dann kann M$ nichts dafür. Oder hast Du schon mal davon gehört, daß ein Autofahrer nach einem Crash den Hersteller beschuldigt, weil sich das Auto starten lies?

Nach einem selbstverschuldeten Autounfall gibt es Strafen bis hin zum Fahrverbot - sei dankbar, daß es das bei Computers noch nicht gibt.

Gruß Jens

Der Beitrag wurde von Jens1962 bearbeitet: 03.02.2007, 13:43

[Zafer]

Deine "Logik" ist einfach umwerfend.
Wer soll im Zweifel auf dem Rechner Programme ausführen dürfen, wenn nicht der Admin? Etwa Bill Gates selbst?
Wenn der Admin nicht weiß, was er tut, dann kann M$ nichts dafür. Oder hast Du schon mal davon gehört, daß ein Autofahrer nach einem Crash den Hersteller beschuldigt, weil sich das Auto starten lies?

Nach einem selbstverschuldeten Autounfall gibt es Strafen bis hin zum Fahrverbot - sei dankbar, daß es das bei Computers noch nicht gibt.

Gruß Jens

LOGIK???
Dann frage ich mich, warum man NICHT den Explorer mit "Als Administrator ausführen" starten kann?!?!?!
Ist der Admin DANN, WENN ER DEN EXPLORER IM EINGESCHRÄNKTEN PROFIL STARTEN WILL KEIN ADMIN mehr??? Dann könnte ich ein Vorwurf machen, "Ich bin schließlich Admin, wieso kann ich den Explorer nicht starten um an MEINE Daten zu kommen?!?!?!?!"

So viel zur Logik

[Gast_skep_*]

Hast du das von dir als Sicherheitsluecke bezeichnete Verhalten schon an die entsprechenden Stellen gemeldet (Microsoft, Secunia, Full-Disclosure ect.) und die Meinungen von dort angehört?

[Zafer]

Hast du das von dir als Sicherheitsluecke bezeichnete Verhalten schon an die entsprechenden Stellen gemeldet (Microsoft, Secunia, Full-Disclosure ect.) und die Meinungen von dort angehört?

Nein, aber der PC-Welt per MAIL gemeldet. Als Antwort kam,
1. Interessant
2. Ob sie das (Online und im Heft) veröffentlichen dürfen.
3. Das die sich per MAIL bzw. telefonisch nochmal melden werden.

[Joerg]

Ich verstehe das Problem wirklich nicht.
Du startest den Messenger mit Admin-Rechten; somit hast Du in diesem Programm Admin-Rechte, richtig? D.h. Du kannst Erweiterungen installieren und somit auf Verzeichnisse und Registry-Bereiche zugreifen, auf die Du unter einem eingeschränkten Benutzerkonto keinen Zugriff hast. Anschließend loggst Du Dich aus, beendest das Programm aber nicht, so dass dieses noch weiterläuft (natürlich mit Admin-Rechten, den mit diesen wurde der Messenger ja auch gestartet). Jetzt loggt sich Deine Freundin in das immer noch laufende Programm ein und hat damit Zugriff beispielsweise auf das Systemverzeichnis...
Wo genau siehst Du da jetzt eine Lücke?

[Gast_Jens1962_*]

Ist der Admin DANN, WENN ER DEN EXPLORER IM EINGESCHRÄNKTEN PROFIL STARTEN WILL KEIN ADMIN mehr???

Ich weiß nicht, warum Du auch noch anfängst zu schreien.
Beschäftige Dich mal mit ein paar Grundlagen eines Windows-Computers, das hat schon bei so manchem geholfen.
Der Explorer als Prozeß läuft immer. Wenn der im Userkonto mit Userrechten läuft, dann kannst Du den nicht noch mal als Admin starten.

[Grizzly]

@Zafer

wenn du dich im userkonto bewegst,bist du user und kein admin. zudem ist admin kein titel,den man mit sich herumtraegt.auch weiss der computer nicht,dass da ploetzlich ein "admin" vor ihm sitzt.....

dazu,wie jens schon sagte,wenn du im benutzerkonto ein programm mit adminrechten startest und es nicht wieder neustartest,bleibt es als programm mit adminrechten bestehen.

insofern ist deine "luecke" keine luecke,,sondern eine dummheit seitens des users,eine gefaehrliche noch dazu,da durch das starten mit adminrechten jeder,der das programm bedient,sich auf dem rechner breitmachen kann.
DAS ist logik......

[Trios]

@Zafer

wenn du dich im userkonto bewegst,bist du user und kein admin. zudem ist admin kein titel,den man mit sich herumtraegt.auch weiss der computer nicht,dass da ploetzlich ein "admin" vor ihm sitzt.....

dazu,wie jens schon sagte,wenn du im benutzerkonto ein programm mit adminrechten startest und es nicht wieder neustartest,bleibt es als programm mit adminrechten bestehen.

insofern ist deine "luecke" keine luecke,,sondern eine dummheit seitens des users,eine gefaehrliche noch dazu,da durch das starten mit adminrechten jeder,der das programm bedient,sich auf dem rechner breitmachen kann.
DAS ist logik......

hm ... , Grizzly, schon mal drüber nachgedacht was diese "Logik" bezogen auf andere Anwendungen bedeuten würde? Das ist das sichere "KO" der Instanzen, oder?

Der Beitrag wurde von Trios bearbeitet: 04.02.2007, 11:01

[Zafer]

@Zafer

wenn du dich im userkonto bewegst,bist du user und kein admin. zudem ist admin kein titel,den man mit sich herumtraegt.auch weiss der computer nicht,dass da ploetzlich ein "admin" vor ihm sitzt.....

dazu,wie jens schon sagte,wenn du im benutzerkonto ein programm mit adminrechten startest und es nicht wieder neustartest,bleibt es als programm mit adminrechten bestehen.

insofern ist deine "luecke" keine luecke,,sondern eine dummheit seitens des users,eine gefaehrliche noch dazu,da durch das starten mit adminrechten jeder,der das programm bedient,sich auf dem rechner breitmachen kann.
DAS ist logik......

Ich weiß das das Dummheit ist! So wie es Dummheit ist z.B.
- auf "gewissen" Internetseiten seine Kontodaten (PIN+TAN) einzugeben (Lösung ANTIPISH.-Softw.)
- Mailanhänge *.exe einfach zu öffnen (Lösung ANTIVIRUS-Software)
usw.

was ich damit sagen möchte, fast für jedes"Problem" bzw. jede "Dummheit" gibt es eine "Lösung". Was spricht denn dagegen, das wenigstens MS-Produkte (Messenger), die beim beenden NICHT vollständig beendet werden, so prgrammiert werden das sie sich nicht mit adminRECHTEN "ausführen als ..." starten lassen SO WIE der "EXPLERORER.EXE"

Der Beitrag wurde von Zafer bearbeitet: 11.02.2007, 14:06

[hypnosekroete]

- auf "gewissen" Internetseiten seine Kontodaten (PIN+TAN) einzugeben (Lösung ANTIPISH.-Softw.)
- Mailanhänge *.exe einfach zu öffnen (Lösung ANTIVIRUS-Software)

Ich würd ja sagen: Henken Dilft! Sowas geht garnicht, egal was für SW Du laufen hast
Oder wiegst Du Dich in Sicherheit mit Software-Lösungen?
Dann Gute Nacht!


PS: Ich finde auch nicht, das das 'ne Sicherheitslücke ist.

Der Beitrag wurde von hypnosekroete bearbeitet: 12.02.2007, 21:16