Η Google αποκαλύπτει μη επιδιορθωμένη ευπάθεια ασφαλείας στα Windows 8.1

Ένας ερευνητής της Google αποκάλυψε μια ευπάθεια ασφαλείας που δεν έχει επιδιορθωθεί στα Windows 8.1. Ο ερευνητής της Google έχει δημοσιεύσει αυτό το σφάλμα στη σελίδα Έρευνας για την Ασφάλεια της Google και υπόκειται σε προθεσμία αποκάλυψης 90 ημερών. Εάν περάσουν 90 ημέρες χωρίς μια ευρέως διαθέσιμη ενημέρωση κώδικα, τότε η αναφορά σφάλματος θα γίνει αυτόματα ορατή στο κοινό. Δεν υπάρχουν πληροφορίες σχετικά με το εάν η Microsoft αναγνώρισε το σφάλμα ή αν επεξεργάζεται αυτό. Αλλά πιστεύω ότι είναι μια ανεύθυνη κίνηση από την Google να δημοσιεύει μια ευπάθεια σε προϊόντα όπως τα Windows 8 που χρησιμοποιείται από εκατομμύρια ανθρώπους καθημερινά.

Οι ακόλουθες πληροφορίες δημοσιεύτηκαν σχετικά με το σφάλμα,

Στην ενημέρωση των Windows 8.1, η κλήση συστήματος NtApphelpCacheControl (ο κώδικας βρίσκεται στην πραγματικότητα στο ahcache.sys) επιτρέπει την προσωρινή αποθήκευση δεδομένων συμβατότητας εφαρμογών για γρήγορη επαναχρησιμοποίηση όταν δημιουργούνται νέες διεργασίες. Ένας κανονικός χρήστης μπορεί να υποβάλει ερώτημα στη μνήμη cache, αλλά δεν μπορεί να προσθέσει νέες καταχωρήσεις προσωρινής αποθήκευσης, καθώς η λειτουργία περιορίζεται στους διαχειριστές. Αυτό ελέγχεται στη συνάρτηση AhcVerifyAdminContext.

Αυτή η συνάρτηση έχει μια ευπάθεια όπου δεν ελέγχει σωστά το διακριτικό πλαστοπροσωπίας του καλούντος για να προσδιορίσει εάν ο χρήστης είναι διαχειριστής. Διαβάζει το διακριτικό πλαστοπροσωπίας του καλούντος χρησιμοποιώντας το PsReferenceImpersonationToken και στη συνέχεια κάνει μια σύγκριση μεταξύ του SID χρήστη στο διακριτικό με το SID του LocalSystem. Δεν ελέγχει το επίπεδο πλαστοπροσωπίας του διακριτικού, επομένως είναι δυνατό να λάβετε ένα αναγνωριστικό διακριτικό στο νήμα σας από μια διαδικασία τοπικού συστήματος και να παρακάμψετε αυτόν τον έλεγχο. Για το σκοπό αυτό το PoC καταχράται την υπηρεσία BITS και το COM για να πάρει το διακριτικό πλαστοπροσωπίας, αλλά πιθανώς υπάρχουν άλλοι τρόποι.

Ακριβώς τότε είναι μια περίπτωση εύρεσης τρόπου εκμετάλλευσης της ευπάθειας. Στο PoC γίνεται μια καταχώριση κρυφής μνήμης για ένα εκτελέσιμο αρχείο αυτόματης ανύψωσης UAC (π.χ. ComputerDefaults.exe) και ρυθμίζει τη μνήμη cache ώστε να οδηγεί στην καταχώρηση compat εφαρμογής για regsvr32, κάτι που αναγκάζει ένα RedirectExe shim να φορτώσει ξανά το regsvr32.exe. Όσο κι αν μπορούσε να χρησιμοποιηθεί οποιοδήποτε εκτελέσιμο αρχείο, το κόλπο θα ήταν η εύρεση μιας κατάλληλης προϋπάρχουσας διαμόρφωσης συμβατής εφαρμογής για κατάχρηση.

Δεν είναι σαφές εάν τα Windows 7 είναι ευάλωτα, καθώς η διαδρομή κώδικα για την ενημέρωση έχει έλεγχο προνομίων TCB (αν και φαίνεται ότι, ανάλογα με τις σημαίες, αυτό μπορεί να παρακαμφθεί). Δεν έχει γίνει προσπάθεια επαλήθευσης στα Windows 7. ΣΗΜΕΙΩΣΗ: Δεν πρόκειται για σφάλμα στο UAC, απλώς χρησιμοποιεί την αυτόματη ανύψωση UAC για λόγους επίδειξης.

Το PoC έχει δοκιμαστεί στην ενημέρωση των Windows 8.1, και στις δύο εκδόσεις 32 bit και 64 bit. Θα συνιστούσα να τρέχετε σε 32 bit για να είμαι σίγουρος. Για επαλήθευση, εκτελέστε τα ακόλουθα βήματα:

1) Τοποθετήστε το AppCompatCache.exe και το Testdll.dll στο δίσκο
2) Βεβαιωθείτε ότι το UAC είναι ενεργοποιημένο, ότι ο τρέχων χρήστης είναι διαχειριστής split-token και ότι η ρύθμιση UAC είναι η προεπιλεγμένη (δεν υπάρχει ερώτηση για συγκεκριμένα εκτελέσιμα αρχεία).
3) Εκτελέστε το AppCompatCache από τη γραμμή εντολών με τη γραμμή εντολών "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) Εάν είναι επιτυχής, τότε η αριθμομηχανή θα πρέπει να εμφανίζεται ως διαχειριστής. Εάν δεν λειτουργεί την πρώτη φορά (και λαμβάνετε το πρόγραμμα ComputerDefaults) εκτελέστε ξανά το exploit από το 3, φαίνεται να υπάρχει πρόβλημα προσωρινής αποθήκευσης/χρονομέτρησης μερικές φορές κατά την πρώτη εκτέλεση.

πηγή: Google μέσω: Neowin