Google avslører uopprettet sikkerhetssårbarhet i Windows 8.1

En Google-forsker har avslørt en uopprettet sikkerhetssårbarhet i Windows 8.1. Google-forsker har lagt ut denne feilen på siden Google Security Research, og den er underlagt en frist på 90 dager. Hvis det går 90 dager uten en allment tilgjengelig oppdatering, vil feilrapporten automatisk bli synlig for publikum. Det er ingen informasjon om hvorvidt Microsoft har erkjent feilen eller om de jobber med den. Men jeg føler det er et uansvarlig trekk fra Google å publisere en sårbarhet på produkter som Windows 8 som brukes av millioner av mennesker hver dag.

Følgende informasjon ble lagt ut om feilen,

På Windows 8.1 oppdaterer systemkallet NtApphelpCacheControl (koden er faktisk i ahcache.sys) tillater applikasjonskompatibilitetsdata å bli bufret for rask gjenbruk når nye prosesser opprettes. En vanlig bruker kan spørre i hurtigbufferen, men kan ikke legge til nye bufrede oppføringer da operasjonen er begrenset til administratorer. Dette er krysset av i funksjonen AhcVerifyAdminContext.

Denne funksjonen har en sårbarhet der den ikke sjekker etterligningstokenet til den som ringer riktig for å finne ut om brukeren er en administrator. Den leser anroperens etterligningstoken ved hjelp av PsReferenceImpersonationToken og gjør deretter en sammenligning mellom bruker-SID-en i tokenet med LocalSystems SID. Den sjekker ikke etterligningsnivået til tokenet, så det er mulig å få et identifikasjonstoken på tråden din fra en lokal systemprosess og omgå denne kontrollen. For dette formålet misbruker PoC BITS-tjenesten og COM for å få etterligningstokenet, men det er sannsynligvis andre måter.

Det er akkurat da et tilfelle av å finne en måte å utnytte sårbarheten på. I PoC lages en cache-oppføring for en UAC auto-elevate kjørbar (si ComputerDefaults.exe) og setter opp cachen til å peke til app-kompat-oppføringen for regsvr32 som tvinger et RedirectExe-shim til å laste regsvr32.exe på nytt. Uansett hvordan en hvilken som helst kjørbar fil kan brukes, ville trikset være å finne en passende forhåndseksisterende app-kompatkonfigurasjon for å misbruke.

Det er uklart om Windows 7 er sårbart ettersom kodebanen for oppdatering har en TCB-rettighetssjekk på seg (selv om det ser ut til at avhengig av flaggene kan dette omgås). Det er ikke gjort noen forsøk på å verifisere det på Windows 7. MERK: Dette er ikke en feil i UAC, det bruker bare UAC auto elevation for demonstrasjonsformål.

PoC har blitt testet på Windows 8.1-oppdatering, både 32-biters og 64-biters versjoner. Jeg vil anbefale å kjøre på 32 bit bare for å være sikker. For å bekrefte, utfør følgende trinn:

1) Sett AppCompatCache.exe og Testdll.dll på disken
2) Sørg for at UAC er aktivert, at gjeldende bruker er en delt token-administrator og at UAC-innstillingen er standard (ingen spørsmål om spesifikke kjørbare filer).
3) Kjør AppCompatCache fra ledeteksten med kommandolinjen "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) Hvis det lykkes, skal kalkulatoren virke som administrator. Hvis det ikke fungerer første gang (og du får ComputerDefaults-programmet) kjører utnyttelsen på nytt fra 3, ser det ut til å være et caching/timing-problem noen ganger ved første kjøring.

kilde: Google via: Neowin