В Windows найдена уязвимость для получения привилегий системного уровня. Актуальная уязвимость Windows


Исследователь компании SpecterOps Мэтт Нельсон (Matt Nelson) рассказал в корпоративном блоге о том, как обойти защитные функции Windows 10 и выполнить сторонний код, сообщает Threatpost .

Уязвимость оказалась связана с новым форматом системных ссылок, сменивших в последней версии ОС классическую панель управления.

По словам эксперта, он поставил себе целью найти тип файлов, который позволит запустить код из внешнего источника. Для проникновения в систему Нельсон решил воспользоваться функцией связывания и внедрения объектов (Object Linking and Embedding, OLE). Она позволяет приложениям получать данные извне и добавлять исполняемые объекты, например Flash-приложение в Word-документ. Злоумышленники пользуются этим для проведения целевых атак, кражи конфиденциальной информации и распространения зловредов.

Для безопасности пользователя, начиная с MS Office 2016, разработчики ограничили набор форматов, с которыми может работать технология OLE. Кроме того, функция сокращения площади атаки (Attack Surface Reduction, ASR) блокирует запуск дочерних процессов с помощью встроенных в документ скриптов.

“Я потратил многие часы в поисках новых форматов, которые разрешали бы выполнение кода, - рассказывает эксперт. - В итоге я наткнулся на *.SettingContent-ms - такие файлы позволяют пользователям менять настройки Windows 10 через ссылки на специальной странице”.

Нельсон выяснил, что фактически это обычные XML-документы, и нашел в их коде тег, отвечающий за открытие специфической настройки при клике на соответствующем ярлыке. Как оказалось, в нем можно прописать любой исполняемый файл, и система запустит его без каких-либо предупреждений. Более того, Нельсон смог таким образом выстроить цепочку команд - это значит, что злоумышленник может скрыть вредоносную активность, открыв страницу, которую ожидает увидеть жертва атаки.

Чтобы доставить опасный скрипт на машину, достаточно заманить пользователя на скомпрометированную веб-страницу. По словам эксперта, штатные защитные системы Windows позволили ему скачать и запустить файл, не увидев в нем каких-либо подозрительных свойств.

При этом, поскольку формат.SettingContent-ms отсутствует в черном списке потенциально зловредных расширений, ОС разрешает ему запускать дочерние процессы. В результате под угрозой оказываются даже компьютеры с максимальными настройками безопасности, утверждает эксперт.

Нельсон передал информацию об уязвимости Microsoft в феврале. В июне специалисты Microsoft Security Response Center признали брешь недостаточно серьезной для отдельного рассмотрения и закрыли вопрос.

По мнению экспертов, ближайшие обновления безопасности Windows могут запретить исполнение файлов.SettingContent-ms через OLE.

0-day уязвимость, позволяющая злоумышленникам получить права системного уровня. О проблеме сообщил пользователь Twitter с ником SandboxEscaper. PoC-код эксплойта доступен на GitHub.

Актуальная уязвимость Windows

Проблема заключена в планировщике задач Windows. При обработке средства ALPC для межпроцессного взаимодействия возникает возможность получить привилегии на уровне SYSTEM. Она может быть использована злоумышленниками для расширения возможностей вредоносных программ.

По словам руководителя координационного центра CERT Уилла Дорманна (Will Dormann), уязвимость остается актуальной. Работоспособность PoC-кода была проверена на 64-битной Windows 10 с последними обновлениями. Повысить права пользователя можно до уровня SYSTEM.

В ответ на письмо издания The Register представитель Microsoft объявил, что они в курсе проблемы. Компания пообещала выпустить обновление с исправлением уязвимости.

Временный патч

Инженеры компании Acros Security опубликовали временный патч для уязвимости в 64-разрядной версии Windows 10 v1803 в составе их платформы 0patch . Она предназначена для исправления 0-day и других непропатченных уязвимостей, для поддержки устаревших продуктов и кастомного софта. Разработчики опубликовали аналогичный патч для Windows 2016 Server 31 августа 2018 года.

Подобные проблемы возникают и на Unix-подобных системах. В июне 2017 года баг, позволяющий получить root-привилегии через команду sudo .

компания Microsoft представила исправление для опасной уязвимости, которая позволяет похищать хеши NTLM-паролей без всякого взаимодействия с пользователем (бюллетень ADV170014). Однако пока уязвимость устранена только в Windows 10 и Server 2016, а обнаруживший баг колумбийский ИБ-специалист Хуан Диего (Juan Diego) до сих пор не сумел разобраться, что именно приводит к возникновению проблемы.

Эксплуатация уязвимости осуществляется очень просто и не требует никакой технической подготовки и знаний. Атакующему достаточно поместить вредоносный файл SCF (Shell Command File) в публично доступную директорию Windows. После этого, благодаря некоему загадочному багу, файл будет выполнен, произведет сбор NTLM хеша и отправит собранные данные на сервер злоумышленника. После этого атакующему останется только взломать полученный хеш.

К счастью, для большинства пользователей такие атаки не представляют угрозы. Дело в том, что по умолчанию публичные папки в Windows защищены паролем, а наличие пароля сразу ставит на атаке крест. Тем не менее, в своем блоге Диего отмечает, что во многих школах, публичных сетях и на предприятиях пароли для публичных директорий не устанавливаются. К тому же, патчи доступны лишь для пользователей Windows 10 и Windows Server 2016, тогда как другие версии ОС по-прежнему уязвимы.

При этом Диего до сих пор не может понять, как именно работает данный баг. Исследователь подробно объяснил журналистам Bleeping Computer , что файлы SCF поддерживают ограниченный набор команд для Windows Explorer (к примеру, открытие окна Windows Explorer или переход на Рабочий стол - Show Desktop). Но если ранее атаки с использованием SCF предполагали, что баг сработает, когда жертва откроет целевую папку, то на этот раз Диего обнаружил, что вредоносная команда из файла SCF срабатывает сразу после помещения вредоноса в директорию. То есть злоумышленнику даже не нужно ждать, когда пользователь откроет нужную общую папку.

«Данная атака срабатывает автоматически. Но лежащая в основе проблема, которая ее провоцирует, до сих пор мне неизвестна. Microsoft скрытничает на этот счет», - говорит специалист.

Диего сообщает, что уже работает над другими способами эксплуатации уязвимости. И хотя в классификации Microsoft бюллетень ADV170014 носит рекомендательный, а не обязательный характер, исследователь настоятельно рекомендует пользователям не пренебрегать этими патчами и обновиться.


2024 © gtavrl.ru.