Windows LPE: MiniPlasma und die Rückkehr der (nicht) behobenen Lücke CVE-2020-17103

Es gibt eine Sorte Schwachstellen, die auf einer Konferenzfolie langweilig klingt und in der Praxis ein gewöhnliches Mitarbeiterkonto in Sekunden zum Administrator der ganzen Maschine macht. Ein Forscher, der unter dem Namen Nightmare-Eclipse auftritt, hat gerade funktionierenden Code auf GitHub veröffentlicht, der genau das auf einem voll aktualisierten Windows tut. Er nannte ihn MiniPlasma. Das Interessante daran: Die Lücke, die der Exploit ausnutzt, wurde offiziell vor mehr als fünf Jahren behoben.
Was MiniPlasma ist
MiniPlasma ist ein LPE-Exploit, also eine lokale Rechteausweitung. Das Repository Nightmare-Eclipse/MiniPlasma ist keine theoretische Beschreibung und keine Konferenzfolie, sondern ein fertiger, waffenfähiger Proof of Concept.
Wir haben es bei uns ausprobiert. Der Exploit startet aus einem gewöhnlichen, niedrig privilegierten Benutzerkonto und liefert im Bruchteil einer Sekunde eine Eingabeaufforderung mit SYSTEM-Rechten zurück, den höchsten im ganzen System. Er läuft auf voll aktualisierten Maschinen, auch auf Windows 11. Ab diesem Moment macht der Angreifer mit dem Rechner, was er will.
Klingt, als brauche es zuerst einen Einbruch? So ist es. Nur ist in großen Active-Directory-Netzen der Zugang zu einem solchen niedrig privilegierten Konto selten das Problem. Ein abgefangener und geknackter NetNTLMv2-Hash oder ein erfolgreiches NTLM Relaying genügt, und der Angreifer ist drin, bereit, die SAM-Passwortdatenbank auszulesen und weiter aufzusteigen.
Eine alte Lücke in neuem Gewand
Das Beunruhigende ist, dass MiniPlasma nichts Neues entdeckt. Dahinter steckt eine schon vor langer Zeit als CVE-2020-17103 katalogisierte Schwachstelle, im systemeigenen Cloud-Treiber cldflt.sys.
Diese Komponente ist in jeder modernen Windows-Version standardmäßig aktiv, denn sie ist für OneDrive und den Mechanismus der Dateien bei Bedarf zuständig. Mit anderen Worten: Das verwundbare Stück System ist bei Ihnen eingeschaltet, auch wenn Sie OneDrive nie bewusst genutzt haben.
Microsoft hat diese Lücke offiziell im Dezember 2020 beseitigt. Das Problem ist, dass der Patch entweder nie ganz korrekt funktionierte oder unterwegs eine Regression auftrat. Das Ergebnis: Fünf Jahre später lässt sich dasselbe Loch wieder ausnutzen.
Warum das ein reales Problem ist, keine Theorie
Die Rechteausweitung allein ist selten das Ziel. Sie ist ein Glied. Sie ist das Kettenglied, mit dem aus einem kleinen Einstieg die Übernahme des gesamten Netzes wird, im schlimmsten Fall Ransomware, die alles von oben bis unten verschlüsselt.
Aus unseren Projekten wissen wir: Sobald ein Angreifer auf einer Station SYSTEM erlangt hat, liegt unter anderem Folgendes in Reichweite:
- ein Dump der NTLM-Hashes aller auf dieser Maschine angemeldeten Konten (unter Windows ist ein Hash so gut wie das Passwort), was den Weg zu weiteren Konten öffnet,
- das Passwort des lokalen Administrators, das ohne MS LAPS oft auf Dutzenden Rechnern gleichzeitig identisch ist,
- voller Zugriff auf Netzwerkressourcen und Dienste, die von dieser Station aus sichtbar sind, ein fertiger Ausgangspunkt für Lateral Movement.
Eine verwundbare Station, ein wiederverwendeter lokaler Admin, und plötzlich gehört die Karte des gesamten Netzes jemand anderem.
Was Sie dagegen tun können
Ohne Angstmacherei um der Angst willen: Dagegen lässt sich etwas tun. Zwei Dinge bringen hier den größten Nutzen.
- Halten Sie Ihr EDR aktuell und nehmen Sie es ernst. Anbieter von Endpoint Detection and Response beobachten öffentliche Exploit-Repositories, auch die unter dem Namen Nightmare-Eclipse, und ergänzen schnell Erkennungsregeln für neuen Code. Ein aktuelles EDR hat eine reale Chance, den Versuch, diesen PoC auszuführen, zu erkennen und zu blockieren. Ein veraltetes erkennt nichts.
- Testen Sie sich regelmäßig, statt zu raten. Ein Penetrationstest beantwortet zwei Fragen, die keine Folie klärt. Erstens: ob ein Angreifer in Ihrer Infrastruktur dieses niedrig privilegierte Konto, mit dem alles beginnt, überhaupt erlangen kann. Zweitens: ob LPE-Eskalationen bei Ihnen in der Praxis tatsächlich durchgehen und was sie einem Angreifer wirklich bringen.
Ein fünf Jahre alter Patch, eine Komponente, die niemand bewusst eingeschaltet hat, und ein Mitarbeiterkonto, das plötzlich zum SYSTEM-Konto wird. So ist Cybersicherheit manchmal: Das Interessanteste passiert an den Stellen, auf die niemand schaut. Wann hat bei Ihnen zuletzt jemand geprüft, wohin ein einziges gewöhnliches Benutzerkonto wirklich führt?
Vereinbaren Sie eine kostenlose Beratung, und wir planen einen Penetrationstest, der zeigt, ob Rechteausweitungen wie MiniPlasma in Ihrer Infrastruktur tatsächlich durchgehen.