Google rivela una vulnerabilità di sicurezza senza patch in Windows 8.1
3 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Un ricercatore di Google ha rivelato una vulnerabilità di sicurezza senza patch in Windows 8.1. Il ricercatore di Google ha pubblicato questo bug sulla pagina di Google Security Research ed è soggetto a un termine di divulgazione di 90 giorni. Se trascorrono 90 giorni senza una patch ampiamente disponibile, la segnalazione del bug diventerà automaticamente visibile al pubblico. Non ci sono informazioni sul fatto che Microsoft abbia riconosciuto il bug o se ci stiano lavorando. Ma ritengo che sia una mossa irresponsabile da parte di Google pubblicare una vulnerabilità su prodotti come Windows 8 che viene utilizzato da milioni di persone ogni giorno.
Le seguenti informazioni sono state pubblicate sul bug,
Nell'aggiornamento di Windows 8.1, la chiamata di sistema NtApphelpCacheControl (il codice è in realtà in ahcache.sys) consente di memorizzare nella cache i dati di compatibilità delle applicazioni per un rapido riutilizzo quando vengono creati nuovi processi. Un utente normale può interrogare la cache ma non può aggiungere nuove voci memorizzate nella cache poiché l'operazione è riservata agli amministratori. Questo viene verificato nella funzione AhcVerifyAdminContext.
Questa funzione presenta una vulnerabilità in cui non controlla correttamente il token di rappresentazione del chiamante per determinare se l'utente è un amministratore. Legge il token di rappresentazione del chiamante usando PsReferenceImpersonationToken e quindi esegue un confronto tra il SID utente nel token e il SID di LocalSystem. Non controlla il livello di rappresentazione del token, quindi è possibile ottenere un token di identificazione sul thread da un processo di sistema locale e ignorare questo controllo. A questo scopo il PoC abusa del servizio BITS e della COM per ottenere il token di rappresentazione ma probabilmente ci sono altri modi.
Si tratta solo di trovare un modo per sfruttare la vulnerabilità. Nel PoC viene creata una voce della cache per un eseguibile di elevazione automatica dell'account utente (ad esempio ComputerDefaults.exe) e imposta la cache in modo che punti alla voce di compatibilità dell'app per regsvr32 che forza uno shim RedirectExe a ricaricare regsvr32.exe. Tuttavia, qualsiasi eseguibile possa essere utilizzato, il trucco sarebbe trovare una configurazione compatibile di app preesistente adatta di cui abusare.
Non è chiaro se Windows 7 sia vulnerabile poiché il percorso del codice per l'aggiornamento ha un controllo dei privilegi TCB su di esso (anche se sembra che a seconda dei flag questo potrebbe essere aggirabile). Non è stato fatto alcuno sforzo per verificarlo su Windows 7. NOTA: questo non è un bug in UAC, sta solo usando l'elevazione automatica dell'UAC a scopo dimostrativo.
Il PoC è stato testato sull'aggiornamento di Windows 8.1, sia nella versione a 32 bit che a 64 bit. Consiglierei di girare a 32 bit per sicurezza. Per verificare, eseguire i seguenti passaggi:
1) Metti AppCompatCache.exe e Testdll.dll su disco
2) Assicurati che l'UAC sia abilitato, l'utente corrente sia un amministratore con token diviso e l'impostazione UAC sia l'impostazione predefinita (nessuna richiesta per eseguibili specifici).
3) Eseguire AppCompatCache dal prompt dei comandi con la riga di comando "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) In caso di successo, la calcolatrice dovrebbe apparire in esecuzione come amministratore. Se non funziona la prima volta (e ottieni il programma ComputerDefaults) riesegui l'exploit da 3, a volte sembra esserci un problema di memorizzazione nella cache/temporizzazione alla prima esecuzione.
