Обнаружен новый способ обхода UAC в Windows

Тема в разделе "Новости информационной безопасности", создана пользователем Dragokas, 22 авг 2016.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Менее чем месяц назад исследователь Мэтт Нельсон (Matt Nelson) раскрыл подробности техники обхода защитного механизма ОС Windows, известного как User Account Control (UAC, контроль учетных записей). Вчера же он опубликовал подробности новой атаки на UAC, позволяющей обойти защиту, при этом не оставив каких-либо следов на жестком диске.

    В этот раз атака полагается на использование компонента Windows под названием Event Viewer (eventvwr.exe), позволяющего просматривать логи событий локально либо удаленно. Нельсон заявил, что обнаружил способ, как при помощи eventvwr можно перехватить контроль над процессом реестра, запустить powershell и исполнить команды. Его PoC-эксплойт, протестированный на Windows 7 и 10, был разработан совместно с другим ИБ-специалистом — Мэттом Грэбером (Matt Graeber). В опубликованном отчете говорится, что эксплойт технически осуществим против любой версии ОС, использующей UAC.

    «Суть этой атаки в том, что пользователь с правами администратора может исполнить код в контексте высокой целостности, при этом от пользователя не будет запрошено разрешение на исполнение этого действия. То есть любые ограничения, связанные с исполнением в контексте локального администратора, не будут более действовать на атакующего, — отметил специалист в комментарии Threatpost. — Эта техника может быть использована лишь после того, как атакующий получит присутствие в системе».

    Представители Microsoft до сих пор не ответили, было ли подтверждено существование данной проблемы и, если так, идет ли разработка патча. Их единственным ответом на запрос Threatpost было следующее заявление: «Windows — единственная ОС, служба техподдержки которой готова досконально изучать отчеты о проблемах с безопасностью и своевременно выпускать обновления для уязвимых устройств. Если наши специалисты подтвердят существование проблемы, то мы примем все необходимые меры, чтобы обеспечить безопасность наших клиентов».

    Как заявил Нельсон в комментарии Threatpost, он уже не раз в частном порядке сообщал об обнаруженных им способах обойти UAC, однако представители компании отвечали ему, что подобные проблемы не являются существенными для разработки патчей, ежемесячно выходящих в так называемые вторники патчей.

    «Так уже исторически сложилось, что, хотя Microsoft и закрыла некоторые бреши обхода UAC, в большинстве случаев им приходится отдавать приоритет разработке патчей для уязвимостей удаленного исполнения кода и багов повышения привилегий, — отмечает эксперт. — Если бы это было существенной проблемой, то существовали бы и пособия для разработчиков по усилению безопасности кода. Насколько мне известно, таких пособий не существует, и это понятно, ведь компания не видит в обходах UAC серьезной проблемы для безопасности ОС».

    По заявлению исследователя, идея для этой атаки пришла ему на ум, когда он изучал логи, собранные в процессе работы над прошлым UAC-обходом, завязанным на использовании DiskCleanup.

    В отчете говорится, что Нельсон обнаружил, что eventvwr.exe исполняет запросы к разделу реестра HKEY_CURRENT_USER (HKCU) в качестве процесса с высокой целостностью. Он отмечает: тот факт, что раздел HKEY_CLASSES_ROOT (HKCR) является слиянием сегментов разделов HKCU и HKEY_LOCAL_MACHINE (HKLM), существенно упрощает проведение атаки.

    «Так как между двумя этими разделами существует подобная связь, то любой процесс с повышенными привилегиями, который последовательно взаимодействует с HKCU и с HKCR, представляет повышенный интерес, поскольку таким образом можно вносить изменения в HKCU», — гласит отчет.

    Механизм взаимодействия eventvwr.exe с разделом HKCU как раз и стал той лазейкой, которую искал исследователь. Он также заметил, что в его значении (default) в разделе HKCR содержится вызов к Microsoft Management Console (mmc.exe).

    «На основе этих данных я пришел к выводу, что eventvwr.exe, будучи процессом с высокой целостностью, при запуске mmc.exe делает вызовы к разделам HKCU и HKCR, — говорится в отчете. — После того как mmc.exe был запущен, он открывает eventvwr.msc (Microsoft Saved Console), вследствие чего и запускается Event Viewer. Все закономерно, ведь именно Microsoft Management Console загружает файлы с расширением .msc».

    Нельсон совместно с Грэбером создал для Event Viewer структуру реестра, руководствуясь которой процесс делает вызов к HKCU, а не к HKCR, а также заменил дефолтный исполняемый файл mmc.exe на powershell.exe.

    «Так как я смог перехватить управление запускаемым процессом, то я получил возможность исполнять любую вредоносную PowerShell-команду. Была получена возможность исполнять код в контексте высокой целостности (в обход UAC), при этом без необходимости загрузки каких-либо файлов, — заявил Нельсон. — Этот факт существенно снижает риск для атакующего, поскольку ему не надо загружать файлы, а значит, они не будут обнаружены антивирусом или другим защитным механизмом или при последующем ИБ-анализе».

    В отличие от других техник обхода UAС, в данном случае не требуются загрузка файлов, внедрение в процессы или использование привилегированной копии файла.

    «Бесфайловые атаки позволяют атакующему осуществлять эксплойт без риска быть обнаруженным защитными программами, аналитические способности которых рассчитаны на то, что будет использоваться более традиционный файловый метод. Кроме того, это позволяет существенно уменьшить цифровой след, оставляемый атакующим, — отмечает Нельсон. — Этот метод не нов, однако за счет таких утилит, как PowerShell, использовать его стало гораздо проще».

    По заявлениям исследователя, администраторы могут защитить систему от этой атаки, изменив настройки UAC на «Всегда уведомлять» либо же удалив текущего пользователя из группы локальных администраторов.

    Источник
     
    akok, Kиpилл, dzu и 3 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Продолжение...

    Специалисты «Доктор Веб» исследовали нового троянца Trojan.Mutabaha.1, ставящего на ПК жертвы Outfire (поддельную версию браузера Google Chrome), который подменяет рекламу в просматриваемых веб-страницах.

    В процессе установки Outfire регистрируется в реестре Windows, запускает несколько системных служб и создает задачи в Планировщике заданий, чтобы загрузить и установить собственные обновления. При этом Outfire подменяет собой уже установленный в системе браузер Google Chrome — модифицирует имеющиеся ярлыки (или удаляет их и создает новые), а также копирует в новый браузер существующий профиль пользователя Chrome. Так как злоумышленники используют стандартные значки Chrome, потенциальная жертва может и не заметить подмены.

    Особенности Outfire:
    - Outfire при запуске демонстрирует стартовую страницу, изменить которую в его настройках невозможно;
    - Outfire содержит неотключаемую надстройку, подменяющую рекламу в просматриваемых веб-страницах;
    - Outfire использует по умолчанию свою службу интернет-поиска, которую можно изменить в настройках.

    Ключевая особенность троянца Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC).
    Информация об этой технологии обхода UAC была впервые опубликована в блоге Мэтта Нельсона 15 августа. [См. описание в посте #1 данной темы].

    Через три дня «Доктор Веб» получили образец троянца, эксплуатирующего именно этот способ, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями. Троянец содержит характерную строку, включающую имя проекта:
    Сначала на атакуемом ПК запускается дроппер, который сохраняет на диск и запускает программу-установщик. Вместе с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. Программа-установщик связывается с управляющим сервером злоумышленников и получает конфигурационный файл, в котором указан адрес для скачивания браузера.

    Напоследок Trojan.Mutabaha.1 проверяет наличие в системе других версий браузеров, аналогичных своей собственной, генерируя их имена с помощью комбинации значений из двух списков-словарей. Всего таких вариантов насчитывается 56. Обнаружив другую версию браузера, Trojan.Mutabaha.1 сравнивает его имя с собственным (чтобы случайно не удалить самого себя), а потом при помощи системных команд останавливает процессы этого браузера, удаляет его записи из Планировщика заданий Windows и вносит соответствующие изменения в системный реестр.

    «Доктор Веб» предупреждает
     
    akok, Kиpилл, Охотник и ещё 1-му нравится это.
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    [​IMG] [​IMG]
     
    Последнее редактирование: 30 авг 2016
    Kиpилл и SNS-amigo нравится это.
  5. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    А в чём визуальные отличия, кроме аквариума? :)
    --- Объединённое сообщение, 30 авг 2016 ---
    А, вижу... адрес стартовой страницы. А по второму скрину?
     
    Последнее редактирование: 30 авг 2016
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    akok, а для чего тащить эти скрины с какого-то левого сайта (см. водяные знаки на скринах) и ссылку где они залиты, когда эти скрины взяты с сайта др. Веб «Доктор Веб» предупреждает: Trojan.Mutabaha.1 устанавливает поддельный Chrome
     
    Последнее редактирование: 30 авг 2016
    Kиpилл нравится это.

Поделиться этой страницей