Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties
Submitter: Rafe

Het Dolby Audio-programma dat standaard aanwezig zou zijn op Lenovo-computers met Windows 10, kan gebruikt worden om beheerderstoegang op deze apparaten te verkrijgen. Dit komt omdat het programma is voorge´nstalleerd met 'system'-permissies.

dolby permissionsHet gaat om het bestand DolbyDAX2API.exe, dat volgens het blog Obscure Channel normaal gesproken audiocomponenten aanstuurt op Lenovo-apparaten met Windows 10. Het probleem ligt in het feit dat de permissies van het uitvoerbare bestand standaard zijn ingesteld op 'system'-niveau, dit is het hoogste niveau op Windows-machines.

De aanval stelt voorop dat een gebruiker al lokale rechten op een machine heeft verkregen. Een aanvaller kan namelijk DolbyDAX2API.exe vervangen door een kwaadaardig bestand, dat hij kan oproepen door het Dolby Audio-programma te starten. Door de hoge permissies is het op die manier voor de aanvaller uiteindelijk mogelijk om een shell met beheerderstoegang te openen. Het is niet duidelijk of het Dolby-programma alleen op Lenovo-apparaten aanwezig is, of dat er ook andere fabrikanten zijn die het standaard meeleveren.

Moderatie-faq Wijzig weergave

Reacties (39)

Um, hoe moet je een bestand in de program files folder vervangen zonder admin rechten? Dit gaat namelijk niet standaard (je moet zelfs elevated zijn wil je Řberhaupt iets in je program files kunnen wijzigen).

Vooralsnog klopt er weinig van dit artikel en is het eigenlijk een klein beetje schandalig dat dit Řberhaupt zo op tweakers.net terecht is gekomen.

Overigens draait er zoveel onder system, een groot deel van de services moeten wel als System draaien.

Edit : ik zie in de screenshot dat authenticated users full control hebben over de betreffende executable, hiermee zou het waarschijnlijk wel kunnen hoewel je volgens mij nog steeds elevated rechten moet hebben (een admin account heeft immers ook FC rechten op program files maar moet nog steeds elevaten wil die iets kunnen wijzigen)

[Reactie gewijzigd door Killah_Priest op 26 januari 2016 18:07]

Het originele blog duidt het probleem wat concreter.

Het probleem zit in het feit dat de service met systempermissies draait en de binnen de service opgeroepen applicatie te overschrijven is door elke gebruiker. Daarmee creŰerden de makers een risico door hun service met hoge permissies elke willekeurige applicatie aan te laten roepen.

Het blog ligt nog toe dat de Dolby service na 5 seconden stopt omdat het oorspronkelijke bestand is overschreven maar dat dit eenvoudig is te omzeilen door de kwaadaardige applicatie naar een ander proces te migreren. Er is dus geen enkele mitigerende maatregel.

Resultaat: Onder een account met beperkte rechten, kwaadaardige applicaties met systemrechten starten.

Het artikel mag wel iets scherper wat mij betreft. "voorge´nstalleerd met 'system'-permissies." dekt de lading niet helemaal.

[Reactie gewijzigd door Eagle Creek op 26 januari 2016 19:10]

Sterker nog, enige wat je hoeft te doen is een kwaadaardige DLL naar de map met de .exe te slepen.
Standaard laadt windows alle .DLL bestanden in de map waar de executable staat, zodra deze opstart. Gewoon een kwestie van .DLL plaatsen en de pc opnieuw starten. Of gewoon wachten tot de gebruiker dat zelf doet
Incorrect, Windows laad niet alle DLL's in een directory waar de executable staat. Alleen referenced DLL's worden ingeladen en daar zit het probleem dan ook, mocht de applicatie bijv gebruik maken van XAudio (DX Audio) dan zou je een fake DLL in de map kunnen zetten en windows pakt die zonder problemen op en kijkt niet meer verder (search path order, maw: eerst in eigen directory, daarna pas in system32/etc.)

Maar Windows zal nooit zomaar wat DLL's gaan inladen in de map waar de app staat.
Het originele blog duidt het probleem wat concreter.

Het probleem zit in het feit dat de service met systempermissies draait en de binnen de service opgeroepen applicatie te overschrijven is door elke gebruiker. Daarmee creŰerden de makers een risico door hun service met hoge permissies elke willekeurige applicatie aan te laten roepen.

Het blog ligt nog toe dat de Dolby service na 5 seconden stopt omdat het oorspronkelijke bestand is overschreven maar dat dit eenvoudig is te omzeilen door de kwaadaardige applicatie naar een ander proces te migreren. Er is dus geen enkele mitigerende maatregel.

Resultaat: Onder een account met beperkte rechten, kwaadaardige applicaties met systemrechten starten.

Het artikel mag wel iets scherper wat mij betreft. "voorge´nstalleerd met 'system'-permissies." dekt de lading niet helemaal.
Die driver is sowieso slecht. Dolby heeft 0,0% toegevoegde waarde. Jack detectie crasht vaak, waardoor je de pc moet herstarten om je koptelefoon te vinden. De driver wordt ook ge´nstalleerd wanneer je een RTM versie pakt. En de dolby functie zit ook in de Realtek variant.

Mijn advies: de lenovo driver verwijderen, rustig de microsoft driver blijven gebruiken en downloads: O&O ShutUp10 1.3.1354 gebruiken om third parties drivers te blokken.
Dolby heeft nut om lokaal te kunnen encoden voor je hdmi/spdif output als de receiver 't niet voor je kan doen (bijv. de Logitech 5500 doet alleen Dolby en geen DTS, met deze service kan je dan zorgen dat je altijd dolby output stuurt ipv DTS).

Enne.. .Jack detection is van de driver zelf, niet van dolby
Dolby heeft nut om lokaal te kunnen encoden voor je hdmi/spdif output als de receiver 't niet voor je kan doen (bijv. de Logitech 5500 doet alleen Dolby en geen DTS, met deze service kan je dan zorgen dat je altijd dolby output stuurt ipv DTS).

Enne.. .Jack detection is van de driver zelf, niet van dolby
Dolby is (ook) ge´ntegreerd in de officiŰle Realtek driver. De dolby setting vervangt microsoft verbeteringen in het eigenschappenscherm. Het staat standaard aan en klinkt erg blikkerig.

Ik snapte dat het dolby digital kan uitsturen en waardeer dat dit kan. Echter, zullen er weinig mensen zijn die er gebruik van maken. Daarom is het erg storend dat het standaard aanstaat. De meeste mensen weten dit niet eens en denken dat het geluid van de laptop gewoon slecht is.
Um, hoe moet je een bestand in de program files folder vervangen zonder admin rechten? Dit gaat namelijk niet standaard (je moet zelfs elevated zijn wil je Řberhaupt iets in je program files kunnen wijzigen).

[...]

Edit : ik zie in de screenshot dat authenticated users full control hebben over de betreffende executable, hiermee zou het waarschijnlijk wel kunnen hoewel je volgens mij nog steeds elevated rechten moet hebben (een admin account heeft immers ook FC rechten op program files maar moet nog steeds elevaten wil die iets kunnen wijzigen)
Elevated permissions op token-split administrator accounts m.b.v. UAC is in Windows 8 en hoger een wassen neus. Er zit in de implementatie van UAC in Windows 8 en hoger een bug die, onder de standaard instellingen tenminste, het mogelijk maakt om de elevation permission prompts te bypassen en gewoon instructies onder de volle permissie-set van het admin token uit te voeren.

Zie: https://code.google.com/p...arch/issues/detail?id=156

Microsoft gaat hiervoor, als we de discussie in bovenstaand bug report mogen geloven, ook niet eens meer een security bulletin voor uitbrengen, aangezien ze zelf UAC niet meer als security boundary zien, laat staan dat er nog ooit een patch voor gaat komen.

Draai je Windows 8.1 of hoger? Beter dat je dan maar alles onder een normale user account doet en een compleet gescheiden administrator account hanteert...

[Reactie gewijzigd door R4gnax op 27 januari 2016 00:08]

Ik kende dit issue niet, zojuist even getest op mijn Windows 10 systeem, maar daar kan ik het niet reproduceren. Krijg gewoon een Access Denied als ik dit draait vanuit een non-elevated Powershell.

Het is dus ofwel gefixt of er is nog een extra (onbekende) factor die een rol speelt bij of dit wel of te te misbruiken is.
Juist, er staat ook dat de gebruiker wel lokale rechten moet hebben (en dat is dus nodig voor het vervangen van die exe), tja, dan is het probleem wel wat groter dan alleen dit.. Vind het dus ook een beetje 'yeah het klinkt ernstig dus laten we er een artikel over schrijven'..
enuh ik zie dat jij ook weer goed gemint bent terwijl jouw post toch eigenlijk niets bevat dat in de moderating FAQ staat waarvoor je een min mag geven.....
Dat is niet helemaal hoe UAC werkt. De UAC prompt krijg je allÚÚn als je toegang wilt gebruiken die is toegekend via de Administrators groep. Stel je hebt rechten op een bepaald bestand allÚÚn via de Administrators groep, dan zal je een UAC prompt krijgen. Maar als je de rechten op het bestand aanpast zodat naast de Administrators groep ook jouw persoonlijke account (of een andere groep waar je lid van bent) rechten heeft, dan zul je geen UAC prompt meer krijgen. Je heb namelijk de rechten via de Administrators groep niet meer nodig.

Zo is het dus ook bij Authenticated Users. Iedereen met een geldig account op het systeem is daar impliciet lid van en heeft in dit geval dus rechten. UAC komt er dan niet meer bij kijken.
Is dit ook een ding als je een lenovo apparaat hebt gekocht waar je achteraf een schone Windows 10 op hebt gezet? (Ik heb verder geen speciale lenovo drivers oid gedownload)
Ja, dat kan, er is een functionaliteit voorzien in Windows om iets te laden uit de bios:
Instead, a file called "wpbbin.exe" was placed in C:\windows\system32 and executed. That turns out to be a method Microsoft introduced with Windows 8 to allow the BIOS to execute code on boot up (!?!) called "Windows Platform Binary Table (WPBT)". I can find almost NOTHING about this anywhere on the internet except a single document on Microsoft's website (link to the Google Cache since it's a .docx file) and in a random Chinese forum (in Chinese, which I can't read, but it seemed to be about Lenovo).
http://arstechnica.com/ci...d9aad17023579ff#p29544745 (bron van de quote)

http://download.microsoft...latform-binary-table.docx (het document van Microsoft)

http://www.howtogeek.com/...ck-after-a-clean-install/ (gemakkelijker uitgelegd)

Met dit kan zelfs een clean install worden 'vervuild'.
Dan niet nee ;)

Dit is een programma wat Lenovo blijkbaar pre-installed op laptops. Dat kan pas op het moment dat Windows ge´nstalleerd is.

Bij een schone installatie is er dus geen reden om je zorgen te maken :)
Tenzij je daarna zelf dat Dolby programma installeerd. Immers het kern-probleem is dat het een onderdeel van het programma installeert op een user-write-toegankelijke locatie, maar dat dan onder het system-account uitvoert. Het is dus een fout van de installatie-procedure, en daarbij maakt het zo goed als zeker niet uit of het een voorinstallatie is, of zelf-installatie.

Tenzij beide programma's een andere setup gebruiken. Dat kan, maar is vaak niet zo.

Voor eind-gebruikers is het overigens doorgaans geen echt probleem, want de eindgebruiker is al reeds administrator. Eventuele malware zou het kunnen gebruiken als tweede trap in een aanval om zichzelf systeem toegang te geven, maar dan nog moet jij het al eerst geinstallerd hebben als eindgebruiker.

Het is vooral bij enterprise omgevingen gevaarlijk, waar de gebruiker niet de eigenaar van de PC is.
Bij een schone installatie is er dus geen reden om je zorgen te maken :)
Oh jawel hoor. Daar mag je het bestaan van de Windows Platform Binary Table (WPBT) in UEFI voor bedanken.

Als ze deze prutzooi daar ingeduwd hebben kom je er mooi niet vanaf.

[Reactie gewijzigd door R4gnax op 26 januari 2016 20:37]

Eerst was zelfs clean install niet veilig omdat de buis vervuilt was.
Er staat toch duidelijk:
...het programma is voorge´nstalleerd met 'system'-permissies.....

Dus heel simpel, 'Neen"
Het kan toch, sinds Windows 8 doe ik 0 moeite voor driver omdat Windows deze zelf binnen haalt. Dat kan toch ook betekenen dat deze driver ook automatisch op mijn lapop binnen komen.
Nope, je zult nooit een dolby programma via Windows update binnenkrijgen. Hoogstens een driver maar die zal niet met verkeerde rechten ge´nstalleerd worden (is niet eens van toepassing)
Nope, je zult nooit een dolby programma via Windows update binnenkrijgen. Hoogstens een driver maar die zal niet met verkeerde rechten ge´nstalleerd worden (is niet eens van toepassing)
Vanaf Windows 8 is het mogelijk voor OEMs om binaries die altijd met het OS meegeinstalleerd moeten worden in een UEFI moederbord in te bakken.

Van Lenovo is al bekend dat ze dit in een flink aantal laptop modellen met hun branded system update utility gedaan hebben, zodat je er als gewone gebruiker met geen mogelijkheid af kunt komen. (Ook deinstalleren helpt niet; herinstalleert zichzelf vrolijk bij de eerstvolgende reboot.)
Nee, het geldt alleen voor de voorge´nstalleerde Windows.

Lenovo heeft het programma niet juist ge´nstalleerd. Wanneer je dit zelf doet is het eerst niet aanwezig en zal je het zelf waarschijnlijk juist installeren.

[Reactie gewijzigd door ScorcH op 26 januari 2016 17:59]

Waarschijnlijk is dat dan niet het geval. Anders de combinatie "Windows"-knop+F gebruiken waarna je de zoekopdracht DolbyDAX2API.exe invult. Als het bestand dan niet word gevonden dan hoef je je geen zorgen te maken,
Ga ik morgen meteen even proberen. Thanks!
Die schone installatie is op een Lenovo wel een must blijkbaar, is al niet het eerste stukje software waarmee ze op deze manier in het nieuws komen.
De aanval stelt voorop dat een gebruiker al lokale rechten op een machine heeft verkregen.
Is het kwaad daarmee niet allang geschied in de meeste gevallen?
Afgezien van het feit dat het deze rechten gewoon slecht zijn lijkt me dit concreet alleen exploiteerbaar door bijvoorbeeld gebruikers met verminderde rechten op bijvoorbeeld een bedrijfslaptop.
Ja, en dat lijkt me ernstig genoeg, aangezien heel wat van die mensen trucs zoeken om toch meer rechten te krijgen en daar lang niet altijd zorgvuldig mee omspringen.
Ik suggereer ook niet dat dit maar weggewuifd moet worden, maar het raakvlak is relatief laag dus. Titel van het artikel suggereerde (m.i.) iets met zwaardere implicaties.
Of voor malware. Die heeft dan geen admin-rechten nodig om de executeable te overschrijven die met hoge permissies wordt aangeroepen ;)
Zeker een puntje. Maargoed de laatst malware die ik tegen ben gekomen die zich liet tegenhouden door wat rechten links en rechts is al weer een tijdje gelden.
Ik zie het probleem niet, het programma staat in Program Files dwz dat je admin rechten nodig hebt om het programma te starten. Als je Admin rechten hebt kun je altijd System worden.

Voorbeeld: RunAsSys
Ik zie het probleem niet, het programma staat in Program Files dwz dat je admin rechten nodig hebt om het programma te starten.
Read & execute permissions heeft elke ingelogde gebruiker op Program Files.
Wordt anders een beetje moeilijk om spul zoals Wordpad en Paint te starten, heh?
Je hebt gelijk, ik bedoelde "te vervangen" maar schreef "te starten"...

Maar goed er is geen privilege escalation van admin naar system omdat je met admin altijd system kunt worden was mijn punt. Als de permissies op deze executable zodanig ingesteld zijn dat een gebruiker de executable kan vervangen is dat idd slordig maar ook gemakkelijk op te lossen lijkt me.
Als je het screenshot bekijkt zie je dat Authenticated Users (iedereen dus met een geldig account op het systeem) het bestand mag schrijven en dus kan vervangen door een ander bestand. Als het bestand automatisch als SYSTEM wordt uitgevoerd (wat kennelijk zo is) dan is dat dus wel een elevation of privilege. Namelijk vanaf een willekeurige Authenticated User naar SYSTEM.
Dankzij de media creation tool is er nu helemaal geen excuus meer ; activeren en daarna onmiddelloos een schone install doen...

Wel jammer dat dit soort ellende de naam van lenovo omlaag schopt...
Ben erg content met hun laptops en verkoop ze ook graag.
Dankzij de media creation tool is er nu helemaal geen excuus meer ; activeren en daarna onmiddelloos een schone install doen...
En dankzij de Windows Platform Binary Table in UEFI is een schone install ook niet meer schoon.
(Veel plezier met de firmware op je mobo te flashen met een custom ROM die die troep eruit haalt...)
Ze kunnen er wat van bij Lenovo, ik word er stilaan achterdochtig van.
Sowieso is dit een draak van een tool/driver. Op Lenovo Thinkpads met Windows 8.1 zorgde juist deze tool voor vreemde geluiden. Als je bijvoorbeeld een UAC melding kreeg, gebeurde dit met een snerpend geluid/ hoge pieptoon. Zeer irritant voor jezelf, maar ook als je de laptop ergens gebruikte schrokken mensen zich kapot. Ook na de upgrade naar Windows 10 deed dit zich nog voor. Gelukkig was het probleem na een clean install van Windows 10 opgelost, vermoedelijk wordt deze tool/driver dan niet meer mee geinstalleerd. Kan dat nu even niet checken aangezien ik laptop niet bij de hand heb.
Als je fysieke toegang hebt kan je toch gewoon met Konboot booten, toegang tot ALLE lokale accounts inclusief de Admin account.
Gebruik het zelf regelmatig om pc's terug te joinen met het domein op het werk.
Om 1 of andere reden krijgen de domein admins het lokale admin paswoord niet, Konboot booten en problem solved!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True