Forschende von CyberArk haben eine Schwachstelle im Microsoft Endpoint Privilege Management (EPM) aufgedeckt, die Angreifern eine unerwartet einfache Möglichkeit zur Privilegieneskalation eröffnete. Das Problem: Ein klassisches Time-of-Check/Time-of-Use (TOCTOU)-Szenario im Umgang mit Hash-basierten Freigaben von Anwendungen.
EPM ist ein optionales Add-on zu Microsoft Intune und soll Unternehmen helfen, Administratorrechte restriktiver zu vergeben. Nutzer können über vordefinierte Policies bestimmte Anwendungen mit erhöhten Rechten starten – ohne selbst lokale Admins zu sein. Genau hier setzte die Analyse von CyberArk an: Zwischen der Überprüfung des Dateihashes und der tatsächlichen Ausführung der Anwendung blieb ein kleines Zeitfenster offen. Dieses ließ sich ausnutzen, um die ursprünglich geprüfte Anwendung durch ein anderes Binary – etwa cmd.exe oder powershell.exe – auszutauschen und so mit Systemrechten auszuführen.
Die Forschenden entwickelten ein funktionierendes Proof-of-Concept und zeigten, dass sich auf diesem Weg leicht vollständige Kontrolle über ein System erlangen lässt. Betroffen waren alle Versionen von EPMService.exe bis 6.2408.34.1004.
Zwar stufte Microsoft die Lücke lediglich als „Important“ ein und vergab keine CVE, CyberArk weist jedoch auf die Tragweite hin: Gerade Sicherheitsprodukte bergen im Falle von Schwachstellen ein doppeltes Risiko – sie machen Systeme nicht nur angreifbar, sondern vermitteln auch eine trügerische Sicherheit.
Die Lücke wurde im August 2024 gemeldet und von Microsoft bis Ende September 2024 geschlossen. In der Praxis sind bislang keine Angriffe bekannt. CyberArk warnt jedoch, dass ein Exploit in den Händen von staatlichen Akteuren oder Ransomware-Gruppen vor allem bei Privilege Escalation und Lateral Movement hoch attraktiv wäre.
Weitere Informationen zu den Erkenntnissen des Research-Teams von CyberArk gibt es hier: https://www.cyberark.com/resources/threat-research-blog/defeating-microsoft-epm-in-the-race-to-admin-a-tale-of-a-lpe-vulnerability
