Google odhalil neopravenú bezpečnostnú chybu v systéme Windows 8.1

Výskumník Google odhalil neopravenú bezpečnostnú chybu v systéme Windows 8.1. Výskumník spoločnosti Google zverejnil túto chybu na stránke Výskum zabezpečenia Google a vzťahuje sa na ňu 90-dňová lehota na zverejnenie. Ak uplynie 90 dní bez všeobecne dostupnej opravy, správa o chybe sa automaticky stane viditeľnou pre verejnosť. Neexistujú žiadne informácie o tom, či Microsoft chybu priznal alebo či na nej pracuje. Mám však pocit, že je to nezodpovedný krok od spoločnosti Google zverejniť zraniteľnosť produktov, ako je Windows 8, ktorý každý deň používajú milióny ľudí.

O chybe boli uverejnené nasledujúce informácie,

V aktualizácii systému Windows 8.1 systémové volanie NtApphelpCacheControl (kód je v skutočnosti v súbore ahcache.sys) umožňuje ukladanie údajov o kompatibilite aplikácií do vyrovnávacej pamäte na rýchle opätovné použitie pri vytváraní nových procesov. Bežný používateľ môže vyhľadávať vo vyrovnávacej pamäti, ale nemôže pridávať nové položky uložené vo vyrovnávacej pamäti, pretože operácia je obmedzená na správcov. Toto sa kontroluje vo funkcii AhcVerifyAdminContext.

Táto funkcia má chybu zabezpečenia, pri ktorej správne nekontroluje token odcudzenia identity volajúceho, aby zistil, či je používateľ správcom. Prečíta token zosobnenia volajúceho pomocou PsReferenceImpersonationToken a potom vykoná porovnanie medzi SID používateľa v tokene s SID LocalSystem. Nekontroluje úroveň odcudzenia identity tokenu, takže je možné získať identifikačný token vo vašom vlákne z procesu lokálneho systému a obísť túto kontrolu. Na tento účel PoC zneužíva službu BITS a COM na získanie tokenu odcudzenia identity, ale pravdepodobne existujú aj iné spôsoby.

Práve vtedy je potrebné nájsť spôsob, ako túto zraniteľnosť zneužiť. V PoC sa vytvorí záznam do vyrovnávacej pamäte pre spustiteľný súbor UAC s automatickým zvýšením (povedzme ComputerDefaults.exe) a nastaví vyrovnávaciu pamäť tak, aby ukazovala na položku aplikácie compat pre regsvr32, čo prinúti podložku RedirectExe znovu načítať regsvr32.exe. Bez ohľadu na to, či by sa dal použiť akýkoľvek spustiteľný súbor, trikom by bolo nájsť vhodnú konfiguráciu kompatibility s existujúcou aplikáciou, ktorá by sa dala zneužiť.

Nie je jasné, či je systém Windows 7 zraniteľný, pretože cesta kódu na aktualizáciu má kontrolu privilégií TCB (hoci to vyzerá, že v závislosti od príznakov to možno obísť). Nebolo vynaložené žiadne úsilie na overenie v systéme Windows 7. POZNÁMKA: Toto nie je chyba v nástroji UAC, iba sa používa automatická elevácia nástroja UAC na demonštračné účely.

PoC bol testovaný na aktualizácii Windows 8.1, 32-bitovej aj 64-bitovej verzii. Pre istotu by som odporučil bežať na 32 bit. Na overenie vykonajte nasledujúce kroky:

1) Vložte AppCompatCache.exe a Testdll.dll na disk
2) Uistite sa, že je povolený UAC, aktuálny používateľ je správcom rozdelených tokenov a nastavenie UAC je predvolené (žiadna výzva pre konkrétne spustiteľné súbory).
3) Spustite AppCompatCache z príkazového riadka s príkazovým riadkom „AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll“.
4) Ak je to úspešné, kalkulačka by sa mala objaviť spustená ako správca. Ak to nefunguje prvýkrát (a získate program ComputerDefaults), znova spustite exploit z 3, zdá sa, že pri prvom spustení sa niekedy vyskytol problém s vyrovnávacou pamäťou/časovaním.

zdroj: Google via: Neowin