גוגל חושפת פגיעות אבטחה ללא תיקון ב-Windows 8.1
3 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
חוקר של גוגל חשף פגיעות אבטחה שטרם תוקנה ב-Windows 8.1. חוקר גוגל פרסם באג זה בדף מחקר האבטחה של Google והוא כפוף למועד אחרון לגילוי של 90 יום. אם יחלפו 90 יום ללא תיקון זמין באופן נרחב, דוח הבאג יהפוך אוטומטית לגלוי לציבור. אין מידע אם מיקרוסופט הכירה בבאג או אם הם עובדים עליו. אבל אני מרגיש שזה מהלך חסר אחריות מגוגל לפרסם פגיעות במוצרים כמו Windows 8 שנמצאת בשימוש על ידי מיליוני אנשים מדי יום.
המידע הבא פורסם על הבאג,
ב-Windows 8.1 עדכון קריאת המערכת NtApphelpCacheControl (הקוד נמצא למעשה ב-ahcache.sys) מאפשרת לאחסן נתוני תאימות יישומים במטמון לשימוש חוזר מהיר כאשר נוצרים תהליכים חדשים. משתמש רגיל יכול לבצע שאילתות על המטמון אך אינו יכול להוסיף ערכים חדשים במטמון מכיוון שהפעולה מוגבלת למנהלי מערכת. זה מסומן בפונקציה AhcVerifyAdminContext.
לפונקציה זו יש פגיעות שבה היא לא בודקת נכון את אסימון ההתחזות של המתקשר כדי לקבוע אם המשתמש הוא מנהל מערכת. הוא קורא את אסימון ההתחזות של המתקשר באמצעות PsReferenceImpersonationToken ולאחר מכן מבצע השוואה בין ה-SID של המשתמש באסימון ל-SID של LocalSystem. זה לא בודק את רמת ההתחזות של האסימון כך שניתן לקבל אסימון זיהוי בשרשור שלך מתהליך מערכת מקומית ולעקוף את הבדיקה הזו. לשם כך, ה-PoC משתמש לרעה בשירות BITS וב-COM כדי לקבל את אסימון ההתחזות, אבל כנראה יש דרכים אחרות.
זה בדיוק מקרה של מציאת דרך לנצל את הפגיעות. ב-PoC מתבצעת ערך מטמון עבור קובץ הפעלה של UAC auto-elevate (נניח ComputerDefaults.exe) ומגדיר את המטמון כך שיצביע על ערך האפליקציה של compat עבור regsvr32 מה שמאלץ shim RedirectExe לטעון מחדש את regsvr32.exe. עם זאת ניתן להשתמש בכל קובץ הפעלה, הטריק יהיה למצוא תצורת אפליקציה קיימת מתאימה לשימוש לרעה.
לא ברור אם Windows 7 פגיע מכיוון שבנתיב הקוד לעדכון יש בדיקת הרשאות TCB (למרות שזה נראה שבהתאם לדגלים זה עשוי להיות עוקף). לא נעשה מאמץ לאמת את זה ב-Windows 7. הערה: זה לא באג ב-UAC, הוא רק משתמש בהעלאה אוטומטית של UAC למטרות הדגמה.
ה-PoC נבדק על עדכון Windows 8.1, הן גרסאות 32 סיביות והן גרסאות 64 סיביות. אני ממליץ לרוץ על 32 ביט רק כדי להיות בטוח. כדי לאמת בצע את השלבים הבאים:
1) שים את AppCompatCache.exe ואת Testdll.dll בדיסק
2) ודא ש-UAC מופעל, המשתמש הנוכחי הוא מנהל אסימון מפוצל והגדרת ה-UAC היא ברירת המחדל (ללא הנחיה לקובצי הפעלה ספציפיים).
3) הפעל את AppCompatCache משורת הפקודה עם שורת הפקודה "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) אם זה מצליח, המחשבון אמור להופיע פועל כמנהל. אם זה לא עובד בפעם הראשונה (ואתה מקבל את תוכנית ComputerDefaults) הרץ מחדש את הניצול מ-3, נראה שיש בעיית מטמון/תזמון לפעמים בריצה ראשונה.
מקור: Google בְּאֶמצָעוּת: ללא שם: Neowin
