Credential Provider

Question

Hallo,

seit einem der letzten Updates werden für jeden Nutzer wie es scheint die custom credential provider einzeln geladen, anstatt nur ein mal für alle Nutzer.

Beispiel:

https://h2x.us/index.php?id=fingerprint-login

hier wird der einmalige anmeldebildschirm des programms selbst (welcher zusätzlich zur windows anmeldung auftritt) 2x geladen. (es scheinen auch im gegensatz zu früher verschiedene benutzerkontexte zu existiren, da der credential store inzwischen einmalig je nutzer bei login zu existiren scheint, und nichtmehr für alle nutzer. war hier sogar system account zugriff für credential provider gegeben? (nur ein schuss in's blaue.))

ihr habt auf jeden fall ein problem: wer eine billige user privilege escallation hinbekommt, kann per custom credential provider domain admin passwörter loggen, wenn er den domain admin zB per social engineering dazu bekomt, sich von seinem lokalen rechner aus anzumelden.
(so unerfahren sind leider manche admins)

sich hier auf die sicherheitskenntnisse des admins zu verlassen ist imho der falsche weg, insbesondere da der anmeldebildischirm im "common sense" fälschlicherweise als sicher gilt.

Answer 1

Ihr habt allerdings definitiv ein wirkliches Problem bezüglich customer relationship management: Bei der unfreundlichen Reaktion werden Security

Issues vertickert, anstatt gemeldet zu werden.

Wenn du sie an den Hersteller meldest, werden ggfs. entsprechende Bug-Bounties gezahlt. Das passiert natürlich nicht, wenn du sie einfach so öffentlich in einem Forum verbreitest - so du denn tatsächlich Sicherheitslücken gefunden haben solltest.

Die Reaktion war ausgesprochen freundlich dafür, dass ich dir letztens schon mal erklärt habe, dass du hier im falschen Forum für sowas bist.

Wir sind hier nicht Microsoft, du schreibst mit anderen Nutzern, nicht mit irgendeinem Support. Und noch mal: Sicherheitslücken meldet man normalerweise in Form von "responsible disclosure" stillschweigend an den Hersteller.

Answer 2

Du bist auf dem falschen Dampfer: hier ist eine Benutzer-Community, die keine Customer hat (ergo kein customer relationship management), nichts verkauft, und nichts entwickelt. Für etwaige Probleme mit dem Betriebssystem können wir keine Verantwortung übernehmen.

Mehr als Ingo gesagt hat, gibt es nichts zu sagen und wir machen das Thema auf der Stelle zu.

Answer 3

Hallo,
Danke für die Antwort, werde ich machen ;)
Das Problem tritt auch nur bei custom credential providern auf, also bei eigens angepassten Programmen. Früher hat es sich nicht so verhalten, was aber auch hochgradig unsicher war. Es wäre schön, wenn hier eine Lösung gefunden werden könnte.

Ihr habt allerdings definitiv ein wirkliches Problem bezüglich customer relationship management: Bei der unfreundlichen Reaktion werden Security Issues vertickert, anstatt gemeldet zu werden.
Der Hinweis mit dem Credential Provider, den ich Euch vor ein paar Wochen gegeben habe, und der Bug, der daraufhin gefixed wurde, waren geschenkt.
Damit hätte ich locker ein paar Tausender einstreichen können.

Answer 4

Also ich hab kein Problem. ;-)

Du hast vermutlich eines, denn im Forum für den normalen Endanwender wird mit deinem Thema niemand etwas anfangen können.

Probier es bitte im Technet Forum. https://social.technet.microsoft.com/Forums/de-DE/home

Auch dort schreibst du normalerweise mit Nutzern, nicht mit Microsoft persönlich.