Google виявив невиправлену вразливість безпеки в Windows 8.1

Дослідник Google виявив невиправлену вразливість безпеки в Windows 8.1. Дослідник Google опублікував цю помилку на сторінці Google Security Research, і вона підлягає розголошенню протягом 90 днів. Якщо минуло 90 днів без загальнодоступного патча, звіт про помилку автоматично стане загальнодоступним. Немає інформації про те, чи Microsoft визнала помилку та чи працює над нею. Але я вважаю безвідповідальним кроком Google опублікувати інформацію про вразливість таких продуктів, як Windows 8, якою щодня користуються мільйони людей.

Про помилку було опубліковано наступну інформацію,

В оновленні Windows 8.1 системний виклик NtApphelpCacheControl (код фактично міститься в ahcache.sys) дозволяє кешувати дані про сумісність програм для швидкого повторного використання під час створення нових процесів. Звичайний користувач може запитувати кеш, але не може додавати нові кешовані записи, оскільки операція доступна лише адміністраторам. Це перевіряється у функції AhcVerifyAdminContext.

Ця функція має вразливість, через яку вона неправильно перевіряє маркер імітації абонента, щоб визначити, чи є користувач адміністратором. Він зчитує маркер уособлення абонента за допомогою PsReferenceImpersonationToken, а потім порівнює SID користувача в маркері з SID LocalSystem. Він не перевіряє рівень імітації маркера, тому можна отримати ідентифікаційний маркер у вашому потоці від локального системного процесу та обійти цю перевірку. З цією метою PoC зловживає службою BITS і COM, щоб отримати маркер уособлення, але, ймовірно, існують інші способи.

Це просто випадок пошуку способу використання вразливості. У PoC робиться запис кешу для виконуваного файлу UAC з автоматичним підвищенням рівня (скажімо, ComputerDefaults.exe) і встановлюється кеш, щоб вказувати на запис сумісності програми для regsvr32, який змушує прокладку RedirectExe перезавантажувати regsvr32.exe. Незважаючи на те, що можна використовувати будь-який виконуваний файл, трюк полягав би в тому, щоб знайти відповідну вже існуючу сумісну конфігурацію програми для зловживання.

Незрозуміло, чи є Windows 7 уразливою, оскільки кодовий шлях для оновлення містить перевірку привілеїв TCB (хоча, схоже, залежно від прапорів, це можна обійти). Не було зроблено жодних зусиль, щоб перевірити це в Windows 7. ПРИМІТКА. Це не помилка в UAC, це лише використання автоматичного підвищення UAC для демонстраційних цілей.

PoC було протестовано на оновленні Windows 8.1, як у 32-розрядній, так і 64-розрядній версіях. Я б рекомендував працювати на 32 бітах, щоб бути впевненим. Для перевірки виконайте наступні дії:

1) Помістіть AppCompatCache.exe та Testdll.dll на диск
2) Переконайтеся, що UAC увімкнено, поточний користувач є адміністратором розділеного токена, а налаштування UAC є стандартними (немає запиту для певних виконуваних файлів).
3) Запустіть AppCompatCache із командного рядка за допомогою командного рядка «AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll».
4) У разі успіху калькулятор повинен працювати від імені адміністратора. Якщо це не спрацює з першого разу (і ви отримуєте програму ComputerDefaults), повторно запустіть експлойт із 3, здається, іноді під час першого запуску виникає проблема з кешуванням/часом.

джерело: Google за допомогою: Neowin