Microsoft miste een kritieke kwetsbaarheid in Windows waardoor hackers beheerdersrechten konden overdragen naar andere accounts

Home » Microsoft

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Bijgewerkt op

by Anmol Mehrotra 

bijgewerkt

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Een nieuw rapport, gedeeld door de Colombiaanse cybersecurity-expert Sebastian Castro, onthult schokkende details over een kritieke kwetsbaarheid in Windows. Castro deelde details over de kwetsbaarheid waarmee hackers beheerdersrechten kunnen overdragen naar andere accounts.

Volgens CSL bestaat de kwetsbaarheid sinds Windows XP en kunnen beheerdersrechten worden overgedragen naar willekeurige accounts. Castro schreef zelf de Metasploit-module om de kwetsbaarheid te testen en aan te tonen.

Dus besloot ik een Metasploit-module te schrijven, door als referentie de enable_support_account bericht module die is ontwikkeld door mijn collega en vriend Santiago Díaz. Deze module maakt gebruik van de kern van de kwetsbaarheid die in de bovenstaande referentie wordt genoemd, maar is beperkt tot alleen werken in XP/2003 Windows-versie, door een beveiligingsdescriptor van de . te wijzigen ondersteuning_388945a0 ingebouwde rekening.

De bevrijden_hijack module automatiseert deze aanval met elk bestaand account op het slachtoffer. Het zou te vinden zijn in post/windows/manage/rid_hijack.

– Sebastiaan Castro

Nadat de module was ingesteld, testte Castro deze op verschillende besturingssystemen, waaronder Windows XP, Windows Server 2003, Windows 8.1 en Windows 10. Hij legde ook uit hoe het hele proces werkt en stelt hackers in staat om alle beheerdersrechten van een Beheerdersaccount naar een gastaccount.

Ongeacht de versie sinds XP, Windows gebruikt de Security Account Manager (SAM) om de beveiligingsdescriptors van lokale gebruikers en ingebouwde accounts op te slaan. Zoals vermeld in Hoe beveiligingsprincipes werken, heeft elk account een toegewezen RID waarmee het wordt geïdentificeerd. In tegenstelling tot domeincontrollers slaan Windows-werkstations en -servers het grootste deel van deze gegevens op in de sleutel HKLM\SAM\SAM\Domains\Account\Users, waarvoor toegang tot SYSTEEM-rechten vereist is.

– Sebastian Castro

Het ongelukkige is dat het bedrijf ongeveer 10 maanden geleden een rapport naar Microsoft heeft gestuurd, maar nooit is beantwoord. Dit gaf hen toestemming om de kwetsbaarheid na een bepaalde tijd openbaar te maken. Echter,  Günter Geboren, meldde onlangs dat de aanpassing van het baseline Group Policy Object zou kunnen voorkomen dat de hack in een echte situatie plaatsvindt. Dat gezegd hebbende, wachten we nog steeds op Microsoft om een ​​officiële verklaring vrij te geven.

Bron: CSL; Via: Winfuture

Meer over de onderwerpen: microsoft, RID-kaping, ruiten, Windows 10, Windows 8, Windows 8.1, windows server 2003, Windows-kwetsbaarheid, Windows XP

Anmol Mehrotra

Anmol Mehrotra Schild

Android- en Windows News Reporter

Anmol behandelt Android- en Windows-nieuws. Hij is een technologieschrijver met meer dan tien jaar ervaring.