A Google felfedi a javítatlan biztonsági rést a Windows 8.1 rendszerben

A Google kutatója feltárt egy javítatlan biztonsági rést a Windows 8.1-ben. A Google kutatója közzétette ezt a hibát a Google Biztonsági Kutatási oldalán, és 90 napos közzétételi határidő vonatkozik rá. Ha 90 nap eltelik széles körben elérhető javítás nélkül, a hibajelentés automatikusan láthatóvá válik a nyilvánosság számára. Arról nincs információ, hogy a Microsoft elismerte-e a hibát, vagy dolgoznak-e rajta. De úgy érzem, felelőtlen lépés a Google részéről, hogy olyan termékeken tesz közzé egy sebezhetőséget, mint a Windows 8, amelyet emberek milliói használnak nap mint nap.

A következő információk kerültek közzé a hibáról,

A Windows 8.1 frissítésen az NtApphelpCacheControl rendszerhívás (a kód valójában az ahcache.sys fájlban található) lehetővé teszi az alkalmazáskompatibilitási adatok gyorsítótárba helyezését az új folyamatok létrehozásakor történő gyors újrafelhasználás érdekében. Egy normál felhasználó lekérdezheti a gyorsítótárat, de nem adhat hozzá új gyorsítótár-bejegyzéseket, mivel a művelet a rendszergazdákra korlátozódik. Ez az AhcVerifyAdminContext függvényben ellenőrizhető.

Ez a funkció egy biztonsági réssel rendelkezik, amely miatt nem ellenőrzi megfelelően a hívó személy megszemélyesítési tokenjét annak megállapítására, hogy a felhasználó rendszergazda-e. A PsReferenceImpersonationToken segítségével beolvassa a hívó megszemélyesítési tokenjét, majd összehasonlítja a tokenben lévő felhasználói SID-t a LocalSystem SID-jével. Nem ellenőrzi a token megszemélyesítési szintjét, így lehetséges, hogy egy helyi rendszerfolyamatból azonosító tokent kapjon a szálon, és megkerülje ezt az ellenőrzést. Ebből a célból a PoC visszaél a BITS szolgáltatással és a COM-mal, hogy megszerezze a megszemélyesítési tokent, de valószínűleg vannak más módok is.

Csak ekkor kell megtalálni a módját a sérülékenység kihasználásának. A PoC-ban egy gyorsítótár-bejegyzés készül egy UAC automatikusan emelt végrehajtható fájlhoz (mondjuk a ComputerDefaults.exe), és úgy állítja be a gyorsítótárat, hogy a regsvr32 alkalmazáskompatibilis bejegyzésére mutasson, amely a RedirectExe alátétet a regsvr32.exe újratöltésére kényszeríti. Bármilyen végrehajtható fájl is használható, a trükk az lenne, hogy megfelelő, már meglévő alkalmazáskompatibilis konfigurációt találjanak a visszaéléshez.

Nem világos, hogy a Windows 7 sebezhető-e, mivel a frissítési kódútvonalon TCB jogosultság-ellenőrzés található (bár úgy tűnik, a jelzőktől függően ez megkerülhető). Nem történt erőfeszítés a Windows 7 ellenőrzésére. MEGJEGYZÉS: Ez nem az UAC hibája, csupán az UAC automatikus emelését használja demonstrációs célokra.

A PoC-t a Windows 8.1 frissítésen tesztelték, mind a 32 bites, mind a 64 bites verziókon. Azt javaslom, hogy a biztonság kedvéért 32 biten futtasd. Az ellenőrzéshez hajtsa végre a következő lépéseket:

1) Helyezze az AppCompatCache.exe és a Testdll.dll fájlokat a lemezre
2) Győződjön meg arról, hogy az UAC engedélyezve van, az aktuális felhasználó osztott jogkivonatú adminisztrátor, és az UAC-beállítás az alapértelmezett (nincs felszólítás bizonyos végrehajtható fájlok esetén).
3) Futtassa az AppCompatCache parancsot a parancssorból az „AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll” parancssorral.
4) Ha sikeres, akkor a számológépnek rendszergazdaként kell futnia. Ha első alkalommal nem működik (és megkapja a ComputerDefaults programot), futtassa újra az exploitot 3-tól, úgy tűnik, hogy az első futtatáskor néha gyorsítótárazási/időzítési probléma lép fel.

Forrás: Google keresztül: Neowin