Google onthult niet-gepatchte beveiligingskwetsbaarheid in Windows 8.1
3 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Een Google-onderzoeker heeft een niet-gepatcht beveiligingsprobleem in Windows 8.1 onthuld. Een Google-onderzoeker heeft deze bug op de Google Security Research-pagina geplaatst en er geldt een deadline van 90 dagen voor openbaarmaking. Als 90 dagen verstrijken zonder een algemeen beschikbare patch, wordt het bugrapport automatisch zichtbaar voor het publiek. Er is geen informatie over of Microsoft de bug heeft erkend of dat ze eraan werken. Maar ik vind het een onverantwoorde stap van Google om een kwetsbaarheid te publiceren in producten zoals Windows 8 die elke dag door miljoenen mensen wordt gebruikt.
De volgende informatie is gepost over de bug,
Op Windows 8.1-update zorgt de systeemaanroep NtApphelpCacheControl (de code bevindt zich eigenlijk in ahcache.sys) ervoor dat toepassingscompatibiliteitsgegevens in de cache kunnen worden opgeslagen voor snel hergebruik wanneer nieuwe processen worden gemaakt. Een normale gebruiker kan de cache opvragen, maar kan geen nieuwe items in de cache toevoegen, omdat de bewerking beperkt is tot beheerders. Dit wordt gecontroleerd in de functie AhcVerifyAdminContext.
Deze functie heeft een kwetsbaarheid waarbij de imitatietoken van de beller niet correct wordt gecontroleerd om te bepalen of de gebruiker een beheerder is. Het leest het imitatietoken van de beller met behulp van PsReferenceImpersonationToken en vergelijkt vervolgens de gebruikers-SID in het token met de SID van LocalSystem. Het controleert niet het imitatieniveau van het token, dus het is mogelijk om een identificatietoken op uw thread te krijgen van een lokaal systeemproces en deze controle te omzeilen. Voor dit doel maakt de PoC misbruik van de BITS-service en COM om het imitatietoken te krijgen, maar er zijn waarschijnlijk andere manieren.
Het is gewoon een kwestie van een manier vinden om de kwetsbaarheid te misbruiken. In de PoC wordt een cache-invoer gemaakt voor een UAC automatisch verhoogd uitvoerbaar bestand (bijvoorbeeld ComputerDefaults.exe) en stelt de cache in om te verwijzen naar de app-compat-vermelding voor regsvr32 die een RedirectExe-shim dwingt om regsvr32.exe opnieuw te laden. Hoe elk uitvoerbaar bestand ook kan worden gebruikt, de truc zou zijn om een geschikte reeds bestaande app-compatconfiguratie te vinden om misbruik te maken.
Het is onduidelijk of Windows 7 kwetsbaar is, aangezien het codepad voor update een TCB-privilegecontrole heeft (hoewel het lijkt alsof dit, afhankelijk van de vlaggen, kan worden omzeild). Er is geen poging gedaan om het te verifiëren op Windows 7. OPMERKING: dit is geen bug in UAC, het gebruikt alleen UAC-auto-elevatie voor demonstratiedoeleinden.
De PoC is getest op Windows 8.1-update, zowel 32-bits als 64-bits versies. Voor de zekerheid raad ik aan om op 32 bit te draaien. Voer de volgende stappen uit om te verifiëren:
1) Zet de AppCompatCache.exe en Testdll.dll op schijf
2) Zorg ervoor dat UAC is ingeschakeld, de huidige gebruiker een gesplitste token-beheerder is en dat de UAC-instelling de standaard is (geen prompt voor specifieke uitvoerbare bestanden).
3) Voer AppCompatCache uit vanaf de opdrachtprompt met de opdrachtregel "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) Indien succesvol, zou de rekenmachine moeten verschijnen als een beheerder. Als het de eerste keer niet werkt (en je krijgt het ComputerDefaults-programma), voer je de exploit opnieuw uit vanaf 3, dan lijkt er soms een caching-/timingprobleem te zijn bij de eerste keer uitvoeren.
Bron: Kopen Google Reviews via: Neowin
