Microsoft едва успел захлопнуть «дыру», позволявшую полностью захватить Windows

Microsoft едва успел захлопнуть «дыру», позволявшую полностью захватить Windows

19.04.2019
Ошибка в обработке жестких ссылок Windows позволила исследователю захватить полный контроль над файлом hosts из-под аккаунта обычного пользователя, не имеющего административных разрешений в системе. Экспериментальный эксплойт уже выпущен.

Жестко по ссылкам
Очередной кумулятивный патч для продуктов Microsoft исправил более 70 различных уязвимостей, однако к одной из самых серьезных немедленно появился экспериментальный эксплойт.

Речь идет о баге CVE-2019-0841, допускающем повышение привилегий в Windows 10, Windows Server 2019 и Server Core. Эксперт по безопасности компании Dimension Data Набил Ахмед(Nabeel Ahmed), один из тех, кто обнаружил уязвимость и сообщил о своей находке в Microsoft, сразу же после выпуска патча опубликовал экспериментальный эксплойт.

Уязвимость связана с неправильно обработкой так называемых жестких ссылок (составляющих файла, описывающих его элемент каталога) службой AppX Deplyment Service (AppXSVC), которая отвечает за запуск приложений Windows, их инсталляцию и деинсталляцию.

Злоумышленник с низкими привилегиями в системе может использовать этот баг для запуска процессов с повышенными привилегиями в среде Windows 10 и Windows Server.

windows600.webp
Уязвимость в Windows 10 допускает повышение привилегий

Как написал сам исследователь, низкопривилегированные пользователи могут захватывать контроль над файлом, управляемым Nt Authority\System (локальный системный аккаунт с высшими привилегиями), перезаписывая разрешения к нему. В итоге потенциальный злоумышленник может получить полный контроль над фактически любым файлом в системе.

Захватить hosts
В порядке демонстрации Ахмед использовал конфигурационный файл (settings.dat) для Microsoft Edge в контексте обычного, непривилегированного пользователя, и с его помощью смог получить полный контроль над файлом hosts, который могут модифицировать только администраторы или системный аккаунт.

Сам эксперт так описывает процесс. Эксплойт сначала проверяет существование целевого файла, и если файл существует, проверяются его разрешения. Поскольку мы используем Microsoft Edge для этого эксплойта, процесс браузера будет ликвидирован, чтобы можно было получить доступ к его файлу settings.dat.

После того как Microsoft Edge «убит», эксплойт ищет файл settings.dat и удаляет его, чтобы создать жесткую ссылку к целевому файлу (в нашем случае это "hosts").

Как только жесткая ссылка создана, Microsoft Edge запускается заново, чтобы сработала уязвимость. Производится проверка, позволяющая убедиться, что теперь у текущего пользователя есть полный контроль над файлом.

Эксперт отметил, что существует ряд условий, при которых атака реализуема. Например, Nt Authority\System должен иметь полный контроль над файлом, который интересует злоумышленников. Низкопривилегированный пользователь или группа пользователей, в которую он входит, должны иметь разрешения на чтение и запись в системе (Read/Execute). Эти разрешения должны быть унаследованными.

В Microsoft полагают, что шансы на реализацию этого сценария невелики даже в системе, где исправления еще не установлены.

«Тем не менее, если шансы есть, игнорировать их нельзя, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Возможность повышения привилегий в системе — это в любом случае серьезно, а значит обновления для Windows необходимо накатывать как можно скорее. Особенно учитывая, что код эксплойта уже существует, и это лишь вопрос времени, когда им начнут пользоваться злоумышленники».
 
Последнее редактирование модератором:
Сильный заголовок, только вот сколько народа устанавливает обновления? Еще с этой уязвимостью, все нахлебаются добра.
 
вот сколько народа устанавливает обновления?
А сколько народа не хотят устанавливать обновления из-за их несовместимости)

Вот почти незамеченная новость: Апрельские обновления от Microsoft вывели из строя системы с ПО Sophos и Avast

А вот почти незамеченная функция в сборке 1809: Windows 10 будет самовольно «откатываться» с обновлений, которые ей не понравились

А вот сообщение об экстренном обновлении: Windows Updates (April 2019)

Загадка:
Не будь я @Severnyj сколько бы раз откатывалось обновление, занимая час необходимого времени, учитывая то, что Windows сразу после перезагрузки снова предлагала перезагрузку для окончания обновления))
 
У инсайдерских подобная болезнь при обновлении сборки, несколько сборок подряд удавалось накатить новую сборку со второй попытки.
 
Так это не инсайдерская, а вполне себе стабильная.
 
Назад
Сверху Снизу