Die Installation von ActiveStates Perl-Paket für Windows erlaubt es einem eingeschränkten Benutzer, dem Adminstrator Programme unterzuschieben, die dann unter Umständen mit dessen Rechten ausgeführt werden. Standardmäßig schreibt das Installationsprogramm C:\Perl\bin als ersten Eintrag in den Systempfad, sodass das System Programme und Bibliotheken dort findet. In diesem Verzeichnis können jedoch auch Benutzer mit eingeschränkten Rechten neue Dateien wie zum Beispiel eine Hintertür mit dem Namen notepad.exe anlegen. Startet dann ein Administrator Notepad ohne explizite Pfadangabe zum Beispiel von der Kommandozeile, findet das System das Hintertürprogramm vor dem echten Editor und startet es an dessen Stelle mit den Rechten des aktiven Anwenders. Auf demselben Weg kann ein Angreifer auch Programmen, die automatisch gestartet werden, eigene Bibliotheken unterjubeln.
Ursprünglich entdeckt hat das Problem Reed Arvin, der auf einer Sicherheits-Mailingliste berichtete, dass es ihm gelungen sei, der Security-Suite ZoneAlarm die höheren Rechte abzuluchsen, indem er eine DLL-Datei in das Perl-Verzeichnis legte. Das von ihm monierte Verhalten ist jedoch völlig normal: Windows sucht nicht nur Programme, sondern auch Bibliotheken in den Verzeichnissen, die in der Umgebungsvariablen PATH angegeben sind. Deshalb ist unbedingt darauf zu achten, dass Nutzer mit eingeschränkten Rechten keine Schreibrechte auf Verzeichnisse haben, die im Pfad von anderen Nutzern auftauchen – insbesondere in denen der administrativen Systemzugänge.
Siehe dazu auch:
* 18 ways to escalate privileges in Zone Labs ZoneAlarm von Reed Arvin
Quelle und Links :
http://www.heise.de/security/news/meldung/70661
