Реверс - инженер обнаружил новую уязвимость нулевого дня в большинстве редакций Windows 10, которая позволяет создавать файлы в закрытых областях операционной системы.
Эксплуатация уязвимости тривиальна, и злоумышленники могут использовать ее для дальнейшей атаки после первоначального заражения целевого хоста, хотя она работает только на машинах с включенной функцией Hyper-V.
Легкое повышение привилегий
Обратный инженер Джонас Ликкегаард опубликовал на прошлой неделе твит, показывающий, как непривилегированный пользователь может создать произвольный файл в system32, папке с ограниченным доступом, содержащей важные файлы для операционной системы Windows и установленного программного обеспечения.
Однако это работает только в том случае, если Hyper-V уже активен, что ограничивает диапазон целей, поскольку этот параметр отключен по умолчанию и присутствует в Windows 10 Pro, Enterprise и Education.
Hyper-V - это решение Microsoft для создания виртуальных машин (ВМ) в Windows 10. В зависимости от физических ресурсов, доступных на хосте, он может запускать как минимум три виртуальных экземпляра.
При наличии достаточных аппаратных ресурсов Hyper-V может запускать большие виртуальные машины с 32 процессорами и 512 ГБ оперативной памяти. Обычный пользователь может не использовать такую виртуальную машину, но он может запускать Windows Sandbox, изолированную среду для выполнения программ или загрузки веб-сайтов, которым не доверяют, без риска заразить обычную операционную систему Windows.
Microsoft представила Windows Sandbox с обновлением May 2019 Update в Windows 10 версии 1903. Включение этой функции автоматически включает Hyper-V.
Чтобы продемонстрировать уязвимость, Lykkegaard создал в \ system32 пустой файл с именем phoneinfo.dll . Для внесения любых изменений в это расположение требуются повышенные привилегии, но эти ограничения не имеют значения, когда Hyper-V активен.
источник: Йонас Ликкегор
Поскольку создатель файла также является владельцем, злоумышленник может использовать это для размещения внутри вредоносного кода, который при необходимости будет выполняться с повышенными привилегиями.
Аналитик уязвимостей CERT / CC Уилл Дорманн подтвердил, что уязвимость существует и что ее использование буквально не требует усилий со стороны злоумышленника на хосте.
Исследователь сообщил BleepingComputer, что уязвимым компонентом является storvsp.sys (Storage VSP - Virtualization Service Provider), серверный компонент Hyper-V.
Низкое вознаграждение за отчет об ошибке
Хотя эту уязвимость легко использовать, в Windows 10 есть более опасные проблемы, которые Microsoft следует решить. Это одна из причин, по которой он решил сделать это общедоступным, а не сообщать об этом через программу поощрения ошибок Microsoft.
Ликкегаард указал BleepingComputer на поток с обнаруженными им уязвимостями и сообщил нам, что одна из наихудших ошибок, о которых он сообщил, позволяла манипулировать приложениями UEFI (Unified Extensible Firmware Interface) - загрузчиками, ядром операционной системы - которые хранятся в виде файлов в разделе EFI.
Он говорит, что недавнее сокращение вознаграждений Microsoft за ошибки повышения привилегий с высокой степенью серьезности с 20 000 до 2 000 долларов также способствовало публичному раскрытию проблемы, поскольку усилия просто больше не стоят того.
«До сих пор я всегда отправлял свои находки в MS и ждал, пока они будут исправлены, но с недавним изменением вознаграждения это того не стоит», - сказал нам Ликкегаард.
Перевод с английского - Google
Последнее редактирование: