Google afslører uopdateret sikkerhedssårbarhed i Windows 8.1

En Google-forsker har afsløret en uoprettet sikkerhedssårbarhed i Windows 8.1. Google researcher har offentliggjort denne fejl på siden Google Security Research, og den er underlagt en 90 dages offentliggørelsesfrist. Hvis der går 90 dage uden en bredt tilgængelig patch, vil fejlrapporten automatisk blive synlig for offentligheden. Der er ingen oplysninger om, hvorvidt Microsoft har anerkendt fejlen, eller om de arbejder på den. Men jeg føler, det er et uansvarligt træk fra Google at offentliggøre en sårbarhed på produkter som Windows 8, som bliver brugt af millioner af mennesker hver dag.

Følgende information blev offentliggjort om fejlen,

På Windows 8.1-opdateringen tillader systemkaldet NtApphelpCacheControl (koden er faktisk i ahcache.sys) at cachelagrede applikationskompatibilitetsdata til hurtig genbrug, når nye processer oprettes. En normal bruger kan forespørge i cachen, men kan ikke tilføje nye cachelagrede poster, da handlingen er begrænset til administratorer. Dette er markeret i funktionen AhcVerifyAdminContext.

Denne funktion har en sårbarhed, hvor den ikke korrekt kontrollerer efterligningstokenet for den, der ringer, for at afgøre, om brugeren er en administrator. Den læser opkalderens efterligningstoken ved hjælp af PsReferenceImpersonationToken og foretager derefter en sammenligning mellem brugerens SID i tokenet med LocalSystems SID. Den kontrollerer ikke tokens efterligningsniveau, så det er muligt at få et identifikationstoken på din tråd fra en lokal systemproces og omgå denne kontrol. Til dette formål misbruger PoC BITS-tjenesten og COM for at få efterligningstokenet, men der er sandsynligvis andre måder.

Det handler netop da om at finde en måde at udnytte sårbarheden på. I PoC'en laves en cache-indgang for en UAC auto-elevate eksekverbar (f.eks. ComputerDefaults.exe) og sætter cachen op til at pege på app-kompatindgangen for regsvr32, som tvinger en RedirectExe-shim til at genindlæse regsvr32.exe. Uanset hvilken eksekverbar fil der kunne bruges, ville tricket være at finde en passende allerede eksisterende app-kompatkonfiguration til at misbruge.

Det er uklart, om Windows 7 er sårbart, da kodestien til opdateringen har et TCB-privilegietjek på sig (selvom det ser ud til, at afhængigt af flagene kan dette omgås). Der er ikke gjort nogen indsats for at verificere det på Windows 7. BEMÆRK: Dette er ikke en fejl i UAC, det bruger bare UAC automatisk elevation til demonstrationsformål.

PoC'en er blevet testet på Windows 8.1 opdatering, både 32 bit og 64 bit versioner. Jeg vil anbefale at køre på 32 bit for at være sikker. Udfør følgende trin for at bekræfte:

1) Sæt AppCompatCache.exe og Testdll.dll på disken
2) Sørg for, at UAC er aktiveret, at den aktuelle bruger er en split-token-administrator, og at UAC-indstillingen er standard (ingen meddelelse om specifikke eksekverbare filer).
3) Udfør AppCompatCache fra kommandoprompten med kommandolinjen "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) Hvis det lykkes, skal lommeregneren se ud til at køre som administrator. Hvis det ikke virker første gang (og du får programmet ComputerDefaults) genkør udnyttelsen fra 3, ser det ud til, at der nogle gange er et caching/timing-problem ved første kørsel.

Kilde: Google via: Neowin