Google otkriva nezakrpljenu sigurnosnu ranjivost u sustavu Windows 8.1

Googleov istraživač otkrio je nezakrpanu sigurnosnu ranjivost u sustavu Windows 8.1. Googleov istraživač objavio je ovaj bug na stranici Google Security Research i podliježe roku od 90 dana za otkrivanje. Ako prođe 90 dana bez široko dostupne zakrpe, tada će izvješće o pogrešci automatski postati vidljivo javnosti. Nema informacija je li Microsoft priznao bug niti rade li na tome. Ali smatram da je Googleov neodgovoran potez objavljivanja ranjivosti na proizvodima kao što je Windows 8 koji svakodnevno koriste milijuni ljudi.

O bugu su objavljene sljedeće informacije,

Na ažuriranju sustava Windows 8.1 sistemski poziv NtApphelpCacheControl (kôd je zapravo u ahcache.sys) omogućuje predmemoriranje podataka o kompatibilnosti aplikacije za brzu ponovnu upotrebu kada se kreiraju novi procesi. Normalni korisnik može postavljati upite u predmemoriju, ali ne može dodavati nove predmemorirane unose jer je radnja ograničena na administratore. Ovo se provjerava u funkciji AhcVerifyAdminContext.

Ova funkcija ima ranjivost u kojoj ne provjerava ispravno token lažnog predstavljanja pozivatelja kako bi utvrdila je li korisnik administrator. Čita token za oponašanje pozivatelja pomoću PsReferenceImpersonationToken i zatim uspoređuje SID korisnika u tokenu sa SID-om LocalSystema. Ne provjerava razinu lažnog predstavljanja tokena, tako da je moguće dobiti identifikacijski token na vašoj niti iz procesa lokalnog sustava i zaobići ovu provjeru. U tu svrhu PoC zlorabi uslugu BITS i COM kako bi dobio token za lažno predstavljanje, ali vjerojatno postoje i drugi načini.

To je samo slučaj pronalaženja načina za iskorištavanje ranjivosti. U PoC-u se pravi unos predmemorije za izvršnu datoteku UAC-a s automatskim podizanjem (recimo ComputerDefaults.exe) i postavlja predmemoriju da ukazuje na unos kompatibilnosti aplikacije za regsvr32 koji prisiljava RedirectExe shim da ponovno učita regsvr32.exe. Kako god se bilo koja izvršna datoteka mogla upotrijebiti, trik bi bio pronaći odgovarajuću već postojeću kompatibilnu konfiguraciju aplikacije za zlouporabu.

Nije jasno je li Windows 7 ranjiv jer put koda za ažuriranje ima TCB provjeru privilegija (iako izgleda da bi to moglo biti moguće zaobići, ovisno o oznakama). Nije učinjen nikakav napor da se to provjeri u sustavu Windows 7. NAPOMENA: Ovo nije greška u UAC-u, samo se koristi UAC automatsko podizanje u svrhu demonstracije.

PoC je testiran na ažuriranju sustava Windows 8.1, 32-bitne i 64-bitne verzije. Preporučio bih rad na 32 bitu samo da budem siguran. Za provjeru izvršite sljedeće korake:

1) Stavite AppCompatCache.exe i Testdll.dll na disk
2) Uvjerite se da je UAC omogućen, da je trenutni korisnik administrator podijeljenog tokena i da je UAC postavka zadana (nema upita za određene izvršne datoteke).
3) Izvršite AppCompatCache iz naredbenog retka pomoću naredbenog retka “AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll”.
4) Ako je uspješan, kalkulator bi trebao izgledati pokrenut kao administrator. Ako ne radi prvi put (i dobijete program ComputerDefaults) ponovno pokrenite exploit od 3, čini se da ponekad postoji problem s predmemorijom/tempiranjem pri prvom pokretanju.

Izvor: Google preko: Neowin