Google revela vulnerabilidade de segurança não corrigida no Windows 8.1
3 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Um pesquisador do Google revelou uma vulnerabilidade de segurança não corrigida no Windows 8.1. O pesquisador do Google postou esse bug na página do Google Security Research e está sujeito a um prazo de divulgação de 90 dias. Se passarem 90 dias sem um patch amplamente disponível, o relatório do bug ficará automaticamente visível ao público. Não há informações sobre se a Microsoft reconheceu o bug ou se está trabalhando nele. Mas eu sinto que é uma jogada irresponsável do Google publicar uma vulnerabilidade em produtos como o Windows 8, que está sendo usado por milhões de pessoas todos os dias.
A seguinte informação foi postada sobre o bug,
Na atualização do Windows 8.1, a chamada de sistema NtApphelpCacheControl (o código está realmente em ahcache.sys) permite que os dados de compatibilidade do aplicativo sejam armazenados em cache para reutilização rápida quando novos processos são criados. Um usuário normal pode consultar o cache, mas não pode adicionar novas entradas em cache, pois a operação é restrita aos administradores. Isso é verificado na função AhcVerifyAdminContext.
Essa função tem uma vulnerabilidade em que não verifica corretamente o token de representação do chamador para determinar se o usuário é um administrador. Ele lê o token de representação do chamador usando PsReferenceImpersonationToken e, em seguida, faz uma comparação entre o SID do usuário no token e o SID do LocalSystem. Ele não verifica o nível de representação do token, portanto, é possível obter um token de identificação em seu encadeamento de um processo do sistema local e ignorar essa verificação. Para este propósito, o PoC abusa do serviço BITS e COM para obter o token de representação, mas provavelmente existem outras maneiras.
É só então um caso de encontrar uma maneira de explorar a vulnerabilidade. No PoC, uma entrada de cache é feita para um executável de elevação automática do UAC (digamos ComputerDefaults.exe) e configura o cache para apontar para a entrada de compatibilidade do aplicativo para regsvr32 que força um shim RedirectExe a recarregar regsvr32.exe. No entanto, qualquer executável pode ser usado, o truque seria encontrar uma configuração de compatibilidade de aplicativo pré-existente adequada para abuso.
Não está claro se o Windows 7 é vulnerável, pois o caminho do código para atualização tem uma verificação de privilégio TCB (embora pareça que, dependendo dos sinalizadores, isso possa ser contornado). Nenhum esforço foi feito para verificá-lo no Windows 7. NOTA: Isso não é um bug no UAC, ele está apenas usando a elevação automática do UAC para fins de demonstração.
O PoC foi testado na atualização do Windows 8.1, nas versões de 32 e 64 bits. Eu recomendo rodar em 32 bits só para ter certeza. Para verificar execute os seguintes passos:
1) Coloque o AppCompatCache.exe e Testdll.dll no disco
2) Certifique-se de que o UAC esteja ativado, o usuário atual seja um administrador de token dividido e a configuração do UAC seja o padrão (sem prompt para executáveis específicos).
3) Execute o AppCompatCache no prompt de comando com a linha de comando “AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll”.
4) Se for bem-sucedido, a calculadora deve aparecer em execução como administrador. Se não funcionar na primeira vez (e você obtiver o programa ComputerDefaults) execute novamente o exploit de 3, parece haver um problema de cache/tempo às vezes na primeira execução.
