Er is een nieuwe kwetsbaarheid op het gebied van privileges ontdekt in Xbox Gaming Services, waardoor een bedreigingsacteur zijn privileges kan verheffen tot systeemprivileges.
Deze kwetsbaarheid heeft de aanduiding CVE-2024-28916 en heeft een ernstgraad van 8,8 (hoog).
Toen dit aan Microsoft werd gemeld, kreeg de onderzoeker een reactie waarin stond dat “hier geen beveiligingsgrenzen werden overschreden.”
Microsoft heeft dit beveiligingslek echter gepatcht nadat was aangetoond dat het beveiligingslek een gebruiker zonder beheerdersrechten in staat stelde systeemrechten te verwerven.
Microsoft Xbox-gamingservices – CVE-2024-28916
Volgens rapporten gedeeld met CyberSecurity News is GamingService geen virtuele dienst, maar als het op een systeem wordt geïnstalleerd, kan het door een gebruiker met weinig rechten worden gebruikt om zijn rechten naar het SYSTEEM te escaleren.
Wanneer er een wijziging plaatsvindt in de map Gaming Services, wordt geprobeerd het bestand C:\XboxGames\GameSave\Content\MicrosoftGame.Config te openen met het privilege van de proberende gebruiker.
Als het bestand bestaat, verplaatst de gameservice de volledige map C:\XboxGames\GameSave via de MoveFileW API-aanroep.
Als deze poging echter mislukt vanwege een fout met geweigerde toegang, zal de gamingservice zijn toestemming upgraden naar systeemmachtiging en de overdracht uitvoeren.
Om een interessante opmerking toe te voegen: de map C:\XboxGames kan door elke geverifieerde gebruikersgroep worden gewijzigd.
Stel dat een gebruiker niet het recht heeft om deze map te bewerken. In dit geval kunnen ze hier nog steeds misbruik van maken door de maplocatie te wijzigen in een door de gebruiker beheerde map en deze bewerking uit te voeren via de volgende acties:
- Verwijder de map C:\XboxGames,
- Maak een nieuwe map met dezelfde naam
- Zet willekeurige DLL-bestanden neer in de map C:\XboxGames\GameSave
- Voeg een Deny Delete ACL toe aan de map die ervoor zorgt dat het proces mislukt bij een escalatiepoging van bevoegdheden.
Correctie en overschrijving
Na beoordeling van dit beveiligingslek heeft Microsoft hersteld Dit wordt gedaan door enkele verdunningen en controles toe te voegen voordat de map wordt verplaatst. Controles betrokken
- Controleer de doelmap op het reparsepunt
- Implementeer vergrendeling op zowel de bron- als de doelmap door een tijdelijk bestand (.tmp_ + cijfer) te maken met de vlag FILE_FLAG_DELETE_ON_CLOSE, dat ook niet kan worden verwijderd.
De onderzoeker verklaarde dat deze patch gebrekkig was, aangezien de link werd geverifieerd voordat de map werd vergrendeld.
Hierdoor kan de gebruiker de service wijsmaken dat de nieuwe installatiemap veilig is en proberen deze om te leiden naar de map C:\Windows\System32\Spool\Drivers\x64.
Het tijdvenster kan worden verlengd door meerdere tijdelijke bestanden te maken, zoals de CREATE_ALWAYS-service specificeert, en de build zal er niet in slagen het bestand te maken als het bestaat.
Hierdoor blijven de tijdelijke bestandsnummers toenemen totdat het bestand met succes is aangemaakt.
A Bewijs van concept Dit beveiligingslek wordt ingezet om de caching-service te misbruiken om willekeurige DLL's als systeem te laden.
Blijf op de hoogte van cybersecuritynieuws, whitepapers en infographics. Volg ons LinkedIn & Twitteren.
“Organisator. Denker. Schepper. Communicator. Twitter-liefhebber. Vriendelijke koffiemedewerker. Wannabe-analist. Tv-evangelist.”