Google avslöjar opatchad säkerhetssårbarhet i Windows 8.1

En Google-forskare har avslöjat en oparpad säkerhetsrisk i Windows 8.1. Googles forskare har publicerat det här felet på sidan för Googles säkerhetsforskning och det är föremål för en 90-dagars deadline för offentliggörande. Om det går 90 dagar utan en allmänt tillgänglig patch, blir felrapporten automatiskt synlig för allmänheten. Det finns ingen information om huruvida Microsoft har erkänt felet eller om de arbetar med det. Men jag känner att det är ett oansvarigt drag från Google att publicera en sårbarhet på produkter som Windows 8 som används av miljontals människor varje dag.

Följande information publicerades om buggen,

I Windows 8.1-uppdateringen gör systemanropet NtApphelpCacheControl (koden finns faktiskt i ahcache.sys) att programkompatibilitetsdata kan cachelagras för snabb återanvändning när nya processer skapas. En normal användare kan fråga cacheminnet men kan inte lägga till nya cachade poster eftersom åtgärden är begränsad till administratörer. Detta är markerat i funktionen AhcVerifyAdminContext.

Den här funktionen har en sårbarhet där den inte korrekt kontrollerar uppringarens identitetstoken för att avgöra om användaren är en administratör. Den läser upp anroparens identitetstoken med PsReferenceImpersonationToken och gör sedan en jämförelse mellan användarens SID i token med LocalSystems SID. Den kontrollerar inte tokens personifieringsnivå så det är möjligt att få en identifieringstoken på din tråd från en lokal systemprocess och kringgå denna kontroll. För detta ändamål missbrukar PoC BITS-tjänsten och COM för att få imitationstoken men det finns förmodligen andra sätt.

Det handlar just då om att hitta ett sätt att utnyttja sårbarheten. I PoC görs en cachepost för en körbar UAC auto-elevate (säg ComputerDefaults.exe) och ställer in cachen så att den pekar på app-kompatposten för regsvr32 som tvingar ett RedirectExe-shim att ladda om regsvr32.exe. Oavsett vilken körbar fil som helst skulle tricket vara att hitta en lämplig redan existerande app-kompatkonfiguration för att missbruka.

Det är oklart om Windows 7 är sårbart eftersom kodsökvägen för uppdatering har en TCB-behörighetskontroll på sig (även om det ser ut som att beroende på flaggorna kan det gå att förbigå). Inga ansträngningar har gjorts för att verifiera det på Windows 7. OBS: Detta är inte en bugg i UAC, det använder bara UAC automatisk elevation för demonstrationsändamål.

PoC har testats på Windows 8.1-uppdatering, både 32-bitars och 64-bitarsversioner. Jag skulle rekommendera att köra på 32 bit bara för att vara säker. Utför följande steg för att verifiera:

1) Lägg AppCompatCache.exe och Testdll.dll på disken
2) Se till att UAC är aktiverat, att den aktuella användaren är en administratör med split-token och att UAC-inställningen är standard (ingen fråga om specifika körbara filer).
3) Kör AppCompatCache från kommandotolken med kommandoraden "AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll".
4) Om det lyckas ska räknaren visas som administratör. Om det inte fungerar första gången (och du får programmet ComputerDefaults) kör om exploateringen från 3, det verkar finnas ett caching-/timingproblem ibland vid första körningen.

Källa: Google via: Neowin