CVE-2016-20091: Sårbarhed i Windows Firewall Control
Sårbarhed i Windows Firewall Control 4.8.6.0 lader lokale angribere overtage fuld systemkontrol ved at placere en skjult ondsindet fil.
Hvad er det?
Windows Firewall Control er et populært tredjepartsprogram til styring af Windows’ indbyggede firewall. Programmet installerer en baggrundsservice (wfcs.exe), der kører med de højest mulige systemrettigheder.
Sårbarheden skyldes en klassisk fejl kaldet unquoted service path (en uanført servicesti). Når Windows skal starte servicen, leder den efter programfilen langs en sti uden anførselstegn. Det betyder, at Windows kan snuble over og køre en ondsindet fil, som en angriber har placeret et andet sted i stien — og det sker med fuld systemadgang.
Hvem rammer det?
Alle virksomheder og brugere, der har installeret Windows Firewall Control version 4.8.6.0 på deres Windows-computere. Angriberen skal allerede have adgang til maskinen som en almindelig bruger — det kan f.eks. være en misfornøjet medarbejder, en praktikant eller en hacker, der allerede har kompromitteret én konto på systemet.
Hvad kan ske?
En angriber med almindelige brugerrettigheder kan eskalere sine rettigheder til det højeste niveau på maskinen — kaldet LocalSystem (fuld administratoradgang). Det betyder, at angriberen kan:
- Installere malware eller ransomware uden begrænsninger
- Stjæle alle filer og adgangskoder på computeren
- Slå sikkerhedsprogrammer fra, herunder selve firewallen
- Sprede sig videre til andre systemer på virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Angrebet kræver, at angriberen allerede er logget ind på maskinen som en almindelig bruger — men derfra er fremgangsmåden enkel og kræver ikke avanceret teknisk viden. Konsekvenserne er alvorlige: fuld kontrol over den ramte computer.
Hvad gør jeg nu?
Gør følgende så hurtigt som muligt, hvis du bruger Windows Firewall Control:
- Find ud af, om I bruger programmet. Bed din IT-ansvarlige eller -leverandør om at søge efter ‘Windows Firewall Control’ eller ‘wfcs.exe’ på virksomhedens computere.
- Opdater eller afinstaller programmet. Tjek om der findes en nyere version end 4.8.6.0 hos udvikleren (BiniSoft/Malwarebytes). Opdater til seneste version, eller afinstaller programmet midlertidigt hvis ingen opdatering er tilgængelig.
- Begræns lokal adgang. Sørg for at medarbejdere kun har de rettigheder, de har brug for — ikke lokale administratorrettigheder — så en eventuel angriber har sværere ved at gennemføre angrebet.
- Overvåg systemer. Bed din IT-leverandør om at tjekke, om der er tegn på uautoriserede programmer i systemstierne på berørte maskiner.
Opdater inden for 14 dage
Vi anbefaler, at du hurtigst muligt får kortlagt, om programmet Windows Firewall Control version 4.8.6.0 er installeret på virksomhedens maskiner. Opdater til seneste version med det samme. Denne type sårbarhed er velkendt og relativt nem at udnytte for en angriber med selv begrænset adgang til en maskine — ventetid øger risikoen unødigt.
Tidslinje
Konkrete eksempler
Misfornøjet medarbejder eskalerer rettigheder
En medarbejder med en almindelig Windows-brugerkonto opdager, at virksomheden kører Windows Firewall Control 4.8.6.0. Medarbejderen placerer et ondsindet program i en mappe på servicestien og venter på, at computeren genstarter — f.eks. efter en Windows-opdatering. Når maskinen starter igen, kører det ondsindede program med fuld systemadgang, og medarbejderen har nu administratorkontrol over maskinen uden at nogen opdager det.
Angriber udnytter kompromitteret brugerkonto
En hacker har via et phishing-angreb fået fat i loginoplysningerne til en medarbejders konto. Hackeren logger ind via fjernadgang (f.eks. VPN eller Remote Desktop) og konstaterer, at Windows Firewall Control er installeret i den sårbare version. Hackeren placerer derefter ransomware i den eksponerede servicesti. Næste gang computeren genstarter, kører ransomwaren med LocalSystem-rettigheder og krypterer ikke blot den lokale maskine, men forsøger også at sprede sig til delte netværksdrev.
Automatiseret angreb via malware
En medarbejder downloader ubevidst et ondsindet program forklædt som et gratis værktøj. Det ondsindede program scanner automatisk maskinen for kendte sårbare services, finder wfcs.exe-stien og indsætter sig selv i den eksponerede sti. Ved næste systemgenstart overtager programmet fuld kontrol og begynder lydløst at sende virksomhedens data til en ekstern server.
Ofte stillede spørgsmål
Skal angriberen sidde fysisk ved computeren?
Nej, ikke nødvendigvis. Angriberen skal have adgang til en brugerkonto på maskinen, men det kan også ske via fjernadgang — f.eks. hvis en medarbejderkonto er blevet kompromitteret gennem phishing eller et svagt kodeord.
Er Windows' egen firewall også sårbar?
Nej. Sårbarheden ligger i tredjepartsprogrammet Windows Firewall Control (lavet af BiniSoft/Malwarebytes), ikke i Microsofts indbyggede Windows Defender Firewall. Bruger I kun den indbyggede firewall, er I ikke berørt af netop denne sårbarhed.
Hvad er en 'unquoted service path' præcis?
Når Windows starter en baggrundsservice, skal den finde den rigtige programfil. Hvis stien til filen indeholder mellemrum og ikke er omsluttet af anførselstegn, kan Windows misforstå stien og forsøge at køre filer på forkerte steder undervejs. En angriber kan udnytte dette ved at placere en ondsindet fil netop dér, så den køres i stedet for det rigtige program.
Kan min antivirus opdage dette angreb?
Muligvis — men ikke sikkert. En sofistikeret angriber kan navngive den ondsindede fil, så den ligner en legitim systemfil. Det er derfor vigtigt at opdatere eller fjerne det sårbare program frem for udelukkende at stole på antivirus.
Hvad sker der, hvis jeg ikke opdaterer?
Maskinen forbliver sårbar, og enhver bruger med selv begrænset adgang kan potentielt opnå fuld kontrol. I en virksomhedskontekst kan det betyde, at én kompromitteret konto åbner døren til hele virksomhedens netværk og data.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Windows Firewall Control 4.8.6.0 contains an unquoted service path vulnerability that allows local attackers to escalate privileges by inserting malicious executables in the service path. Attackers can place executable files in unquoted path directories that the wfcs.exe service will execute with LocalSystem privileges upon service restart or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
