Microsoft missasi Windowsin kriittisen haavoittuvuuden, jonka ansiosta hakkerit saattoivat siirtää järjestelmänvalvojan oikeudet muille tileille
2 min. lukea
Päivitetty
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Kolumbialaisen kyberturvallisuusasiantuntijan Sebastian Castron jakama uusi raportti paljastaa järkyttäviä yksityiskohtia Windowsin kriittisestä haavoittuvuudesta. Castro jakoi tietoja haavoittuvuudesta, jonka avulla hakkerit voisivat siirtää järjestelmänvalvojan oikeudet muille tileille.
CSL:n mukaan haavoittuvuus on olemassa Windows XP:stä lähtien ja mahdollistaa järjestelmänvalvojien oikeuksien siirtämisen mielivaltaisille tileille. Castro kirjoitti itse Metasploit-moduulin haavoittuvuuden testaamiseksi ja osoittamiseksi.
Joten päätin kirjoittaa Metasploit-moduulin ottamalla viitteeksi enable_support_account post moduuli, jonka on kehittänyt kollegani ja ystäväni Santiago Díaz. Tämä moduuli hyödyntää yllä olevassa viitteessä mainitun haavoittuvuuden ydintä, mutta se on rajoitettu toimimaan vain XP/2003 Windows-versio, muokkaamalla suojauskuvauksia support_388945a0 sisäänrakennettu tili.
Kuitenkin, rid_hijack moduuli automatisoi tämän hyökkäyksen millä tahansa uhrin olemassa olevalla tilillä. Se voisi löytyä post/windows/manage/rid_hijack.
– Sebastian Castro
Kun moduuli oli asetettu, Castro testasi sitä useissa käyttöjärjestelmissä, mukaan lukien Windows XP, Windows Server 2003, Windows 8.1 ja Windows 10. Hän myös selitti, kuinka koko prosessi toimii ja antaa hakkereille mahdollisuuden siirtää kaikki järjestelmänvalvojan oikeudet Järjestelmänvalvojan tili vierastilille.
XP:n jälkeisestä versiosta riippumatta Windows käyttää Security Account Manageria (SAM) tallentaakseen paikallisten käyttäjien ja sisäänrakennettujen tilien suojauskuvaukset. Kuten kohdassa How Security Principals Work mainitaan, jokaiselle tilille on määritetty RID, joka tunnistaa sen. Toisin kuin toimialueen ohjaimet, Windows-työasemat ja -palvelimet tallentavat suurimman osan näistä tiedoista avaimeen HKLM\SAM\SAM\Domains\Account\Users, mikä edellyttää JÄRJESTELMÄN oikeuksia.
– Sebastian Castro
Ikävä asia on, että yritys lähetti Microsoftille raportin noin 10 kuukautta sitten, mutta siihen ei koskaan vastattu. Tämä antoi heille luvan paljastaa haavoittuvuus tietyn ajan kuluttua. Kuitenkin, Günter Born, äskettäin raportoitu, että perustason ryhmäkäytäntöobjektin mukauttaminen saattaa estää hakkeroinnin tapahtumisen tosielämässä. Odotamme kuitenkin edelleen, että Microsoft julkaisee virallisen lausunnon.
