Dropbox Zero-Day-Fehler wird vorübergehend behoben
Dropbox, das privilegierteste Konto des Betriebssystems, weist eine Zero-Day-Sicherheitsanfälligkeit auf, aufgrund derer Angreifer die für das Gerät reservierten Berechtigungen erlangen können. Der nicht gepatchte Sicherheitsfehler betrifft Standard-Dropbox-Installationen. Es ist mit dem Updater verbunden, der als Dienst ausgeführt wird und für die Aktualisierung des Programms verantwortlich ist. Dropbox hat noch keine neue Version veröffentlicht, die die Sicherheitsanfälligkeit behebt. Eine vorübergehende Lösung ist jedoch in Form eines Mikropatches frei verfügbar.
Demnach informierten sie Dropbox am 18. September über das Problem und ließen eine Frist von 90 Tagen zu, bevor sie eine öffentliche Schließung durchführten. Das Unternehmen reagierte mit der Meldung, dass der Fehler bekannt sei und ein Fix noch vor Ende Oktober verfügbar sein werde. Bis Dropbox eine bessere Version herausbringt, kann eine vorläufige Lösung über 0Patch angewendet werden, eine Plattform, die Mikropatches für bekannte Probleme bereitstellt, bevor eine dauerhafte, offizielle Korrektur verfügbar wird.
Mitja Kolsek, CEO des Acros Security-Unternehmens hinter 0patch, beschreibt das Problem auf Twitter und erklärt, dass ein lokaler Angreifer mit geringen Rechten damit die ausführbare Datei ersetzen kann, die von einem Prozess mit Rechten auf SYSTEM-Ebene ausgeführt wird. „Bei der Analyse des Problems haben wir entschieden, dass die zuverlässigste Lösung darin besteht, den Protokollschreibcode von DropBox Updater zu entfernen. Dies scheint weder die DropBox-Funktionalität noch den Aktualisierungsprozess negativ zu beeinflussen – es lässt lediglich die Protokolldatei leer, was es DropBox möglicherweise erschwert, Probleme auf dem Computer des Benutzers zu beheben. (Nicht verletzlich zu sein, übertrifft dies eindeutig.) – Mitja Kolsek
Decoder bietet in einem Blog-Beitrag in dieser Woche Details zum Investieren des Fehlers, um Berechtigungen für einen bereits kompromittierten Host zu aktualisieren. Der Exploit-Code wird nicht ausgeliefert, da der Zweck der Enthüllung darin besteht, “Wissen zu teilen, nicht Werkzeuge”. Der Forscher erwähnt, dass er den Eskalationsfehler bei der Version 87.4.138 der Anwendung ausprobiert hat, bei der es sich um das aktuellste Produkt handelt Dieser Beitrag wird gerade geschrieben. Die Methode und die Techniken für die Ausnutzung nutzen den Dropbox-Updater, der als Dienst mit zwei geplanten Aufgaben installiert wird, die mit Systemberechtigungen ausgeführt werden.