Microsoft missade en kritisk sårbarhet i Windows som gjorde det möjligt för hackare att överföra administratörsrättigheter till andra konton
2 min. läsa
Uppdaterad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
En ny rapport som delas av den colombianske cybersäkerhetsexperten Sebastian Castro, avslöjar chockerande detaljer om en kritisk sårbarhet i Windows. Castro delade detaljer om sårbarheten som skulle göra det möjligt för hackare att överföra administratörsrättigheter till andra konton.
Enligt CSL har sårbarheten existerat sedan Windows XP och tillåter att administratörers rättigheter överförs till godtyckliga konton. Castro skrev Metasploit-modulen själv för att testa och demonstrera sårbarheten.
Så jag bestämde mig för att skriva en Metasploit-modul, genom att ta som referens enable_support_account post modul som utvecklades av min kollega och vän Santiago Díaz. Den här modulen utnyttjar kärnan i sårbarheten som nämns i ovanstående referens, men den är begränsad till att endast fungera i XP/2003 Windows-version, genom att ändra en säkerhetsbeskrivning av support_388945a0 inbyggt konto.
Emellertid den rid_kapa modulen automatiserar denna attack med alla befintliga konton på offret. Den kunde hittas i post/windows/manage/rid_hijack.
– Sebastian Castro
När modulen väl var inställd testade Castro den på flera operativsystem inklusive Windows XP, Windows Server 2003, Windows 8.1 och Windows 10. Han fortsatte också med att förklara hur hela processen fungerar och kommer att tillåta hackare att överföra alla administratörsrättigheter från en Administratörskonto till ett gästkonto.
Oavsett version sedan XP använder Windows Security Account Manager (SAM) för att lagra säkerhetsbeskrivningar för lokala användare och inbyggda konton. Som nämns i How Security Principals Work har varje konto ett tilldelat RID som identifierar det. Till skillnad från domänkontrollanter lagrar Windows-arbetsstationer och -servrar det mesta av denna data i nyckeln HKLM\SAM\SAM\Domains\Account\Users, vilket kräver SYSTEM-privilegier för att få åtkomst.
– Sebastian Castro
Det olyckliga är att en rapport skickades till Microsoft för cirka 10 månader sedan av företaget men aldrig besvarades. Detta gav dem tillåtelse att avslöja sårbarheten efter en bestämd tidsperiod. Dock, Günter Born, rapporterade nyligen att anpassningen av det grundläggande gruppolicyobjektet kan förhindra hacket från att äga rum i en verklig situation. Som sagt, vi väntar fortfarande på att Microsoft ska släppa ett officiellt uttalande.
