Microsoft gik glip af en kritisk sårbarhed i Windows, der gjorde det muligt for hackere at overføre administratorrettigheder til andre konti
2 min. Læs
Opdateret den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
En ny rapport delt af den colombianske cybersikkerhedsekspert Sebastian Castro afslører chokerende detaljer om en kritisk sårbarhed i Windows. Castro delte detaljer om sårbarheden, som ville gøre det muligt for hackere at overføre administratorrettigheder til andre konti.
Ifølge CSL eksisterer sårbarheden siden Windows XP og gør det muligt at overføre administratorrettigheder til vilkårlige konti. Castro skrev selv Metasploit-modulet for at teste og demonstrere sårbarheden.
Så jeg besluttede at skrive et Metasploit-modul ved at tage som reference enable_support_account post modul som er udviklet af min kollega og ven Santiago Díaz. Dette modul udnytter kernen i den sårbarhed, der er nævnt i ovenstående reference, men det er begrænset til kun at virke i XP/2003 Windows-version, ved at ændre en sikkerhedsbeskrivelse af support_388945a0 indbygget konto.
Imidlertid rid_hijack modul automatiserer dette angreb med enhver eksisterende konto på offeret. Det kunne findes i post/windows/manage/rid_hijack.
– Sebastian Castro
Da modulet var sat, testede Castro det på adskillige operativsystemer, herunder Windows XP, Windows Server 2003, Windows 8.1 og Windows 10. Han fortsatte også med at forklare, hvordan hele processen fungerer og vil give hackere mulighed for at overføre alle administratorrettigheder fra en Administratorkonto til en gæstekonto.
Uanset versionen siden XP, bruger Windows Security Account Manager (SAM) til at gemme sikkerhedsbeskrivelserne for lokale brugere og indbyggede konti. Som nævnt i How Security Principals Work, har hver konto et tildelt RID, som identificerer det. Til forskel fra domænecontrollere vil Windows-arbejdsstationer og -servere gemme det meste af disse data i nøglen HKLM\SAM\SAM\Domains\Account\Users, hvilket kræver SYSTEM-rettigheder for at få adgang.
– Sebastian Castro
Det uheldige er, at en rapport blev sendt til Microsoft for omkring 10 måneder siden af virksomheden, men aldrig blev besvaret. Dette gav dem tilladelse til at afsløre sårbarheden efter en fastsat periode. Imidlertid, Günter Born, rapporterede for nylig, at tilpasningen af baseline-gruppepolitikobjektet kan forhindre hacket i at finde sted i en virkelig situation. Når det er sagt, venter vi stadig på, at Microsoft udgiver en officiel erklæring.
