Google ujawnia niezałataną lukę w zabezpieczeniach systemu Windows 8.1

Badacz Google ujawnił niezałataną lukę w zabezpieczeniach systemu Windows 8.1. Badacz Google opublikował ten błąd na stronie Google Security Research i podlega 90-dniowemu terminowi ujawnienia. Jeśli upłynie 90 dni bez powszechnie dostępnej łatki, raport o błędzie zostanie automatycznie udostępniony publicznie. Nie ma informacji, czy Microsoft uznał błąd lub czy nad nim pracuje. Ale uważam, że opublikowanie luki w produktach takich jak Windows 8, z której codziennie korzystają miliony ludzi, jest nieodpowiedzialnym posunięciem ze strony Google.

Następujące informacje zostały opublikowane o błędzie,

W aktualizacji systemu Windows 8.1 wywołanie systemowe NtApphelpCacheControl (w rzeczywistości kod znajduje się w ahcache.sys) umożliwia buforowanie danych zgodności aplikacji w celu szybkiego ponownego użycia podczas tworzenia nowych procesów. Zwykły użytkownik może wysyłać zapytania do pamięci podręcznej, ale nie może dodawać nowych wpisów do pamięci podręcznej, ponieważ operacja jest ograniczona do administratorów. Jest to sprawdzane w funkcji AhcVerifyAdminContext.

Ta funkcja ma lukę polegającą na tym, że nie sprawdza poprawnie tokenu personifikacji osoby wywołującej, aby określić, czy użytkownik jest administratorem. Odczytuje token personifikacji wywołującego przy użyciu PsReferenceImpersonationToken, a następnie dokonuje porównania między identyfikatorem SID użytkownika w tokenie a identyfikatorem SID LocalSystem. Nie sprawdza poziomu personifikacji tokenu, więc możliwe jest uzyskanie tokenu identyfikującego w wątku z lokalnego procesu systemowego i pominięcie tego sprawdzenia. W tym celu PoC nadużywa usługi BITS i COM, aby uzyskać token personifikacji, ale prawdopodobnie istnieją inne sposoby.

To tylko wtedy kwestia znalezienia sposobu na wykorzystanie luki. W PoC wpis pamięci podręcznej jest tworzony dla pliku wykonywalnego automatycznego podnoszenia uprawnień UAC (powiedzmy ComputerDefaults.exe) i ustawia pamięć podręczną, aby wskazywała na wpis zgodności aplikacji dla regsvr32, który zmusza podkładkę RedirectExe do ponownego załadowania regsvr32.exe. Niezależnie od tego, jak można użyć dowolnego pliku wykonywalnego, sztuczka polegałaby na znalezieniu odpowiedniej istniejącej konfiguracji kompatybilnej aplikacji do nadużycia.

Nie jest jasne, czy system Windows 7 jest zagrożony, ponieważ ścieżka kodu do aktualizacji zawiera sprawdzanie uprawnień TCB (chociaż wygląda na to, że w zależności od flag można to ominąć). Nie podjęto żadnych wysiłków, aby zweryfikować go w systemie Windows 7. UWAGA: To nie jest błąd w UAC, po prostu używa automatycznego podnoszenia UAC do celów demonstracyjnych.

PoC został przetestowany na aktualizacji Windows 8.1, zarówno w wersji 32-bitowej, jak i 64-bitowej. Dla pewności polecam bieganie w wersji 32-bitowej. Aby zweryfikować, wykonaj następujące czynności:

1) Umieść AppCompatCache.exe i Testdll.dll na dysku
2) Upewnij się, że kontrola konta użytkownika jest włączona, bieżący użytkownik jest administratorem podzielonego tokena, a ustawienie kontroli konta użytkownika jest domyślne (brak monitu o określone pliki wykonywalne).
3) Uruchom AppCompatCache z wiersza poleceń za pomocą wiersza polecenia „AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll”.
4) Jeśli się powiedzie, kalkulator powinien działać jako administrator. Jeśli to nie zadziała za pierwszym razem (i otrzymasz program ComputerDefaults) ponownie uruchom exploita z 3, wydaje się, że czasami przy pierwszym uruchomieniu występuje problem z buforowaniem/czasem.

Źródło: Google przez: Neowin