Der IT-Sicherheitsforscher Stefan Kanthak deckte die Schwachstelle auf und demonstrierte, wie sich mit der mitgelieferten Datei "Offreg.dll" und einem optionalen Testprogramm Richtlinien umgehen lassen. Konkret geht es um sogenannte "User Group Policies", deren Einstellungen normalerweise durch Zugriffsrechte in der Registry geschützt sind.

Was Microsoft offenbar übersah: Nutzer können mit Standardrechten eine Datei namens "ntuser.man" erzeugen – eine spezielle Version des Benutzerprofils, das bei der nächsten Anmeldung automatisch Vorrang gegenüber dem Originalprofil "ntuser.dat" erhält. In dieses "man"-Profil lassen sich per "Offreg.dll" eigene Registry-Einstellungen eintragen – mit dem Ergebnis, dass zuvor gesetzte Gruppenrichtlinien beim nächsten Login nicht mehr greifen.

Manipulation durch Standardnutzer

Der Trick nutzt aus, dass Windows die Rechte auf Profilordner und bestimmte Dateien nur unzureichend schützt. Besonders problematisch ist das bei sogenannten "Mandatory User Profiles", die eigentlich dazu gedacht sind, feste Desktop-Umgebungen für Nutzer vorzugeben. Da auch lokale Profile das Format unterstützen, kann ein Standardnutzer die .man-Datei erzeugen und mit manipulierten Einträgen versehen. IT-Sicherheitskreise sprechen hier von einem "Living-off-the-Land"-Angriff, da nur legitime Windows-Bestandteile verwendet werden.

Der Entdecker des Problems demonstrierte den Angriff auf einem Windows-10-IoT-System. Nach dem Einspielen manipulierten Registry-Einstellungen verlor ein Testnutzer den Zugriff auf den Task-Manager, die Eingabeaufforderung und das Registry-Tool. Nach dem Neustart jedoch – und unter Verwendung der manipulierten ntuser.man – waren diese Einschränkungen wirkungslos.

Etwas Abhilfe durch NTFS-Rechte

Der Sicherheitsforscher Stefan Kanthak dokumentierte die Vorgehensweise und wandte sich an das Microsoft Security Response Center (MSRC). Die lapidare Antwort: Kein Verstoß gegen Sicherheitsgrenzen, da Benutzer ohnehin vollständige Rechte über ihren eigenen Registry-Hive besäßen. Kanthak schlägt dennoch mehrere Maßnahmen vor, mit denen Administratoren das Risiko eindämmen könnten – etwa durch restriktivere NTFS-Rechte auf Profilverzeichnisse und die Datei ntuser.dat. Microsoft zeigte sich bislang unbeeindruckt.

In Sicherheitskreisen sorgt die Thematik dennoch für Diskussionen, denn obwohl keine klassische Rechteausweitung stattfindet, lassen sich administrative Vorgaben durch diese Konstruktion effektiv aushebeln. Ein Patch ist nicht in Sicht – Vorsicht bleibt also die beste Verteidigung.

Einen ausführlichen Blogbeitrag zu diesem Thema einschließlich der betreffenden Registry-Keys hat Günter Born verfasst.