Google tiết lộ lỗ hổng bảo mật chưa được khắc phục trong Windows 8.1
3 phút đọc
Được đăng trên
Chia sẻ bài báo này
Cải thiện hướng dẫn này
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Một nhà nghiên cứu của Google đã tiết lộ một lỗ hổng bảo mật chưa được vá trong Windows 8.1. Nhà nghiên cứu của Google đã đăng lỗi này trên trang Nghiên cứu Bảo mật của Google và nó phải tuân theo thời hạn tiết lộ là 90 ngày. Nếu 90 ngày trôi qua mà không có bản vá được cung cấp rộng rãi, thì báo cáo lỗi sẽ tự động hiển thị cho công chúng. Không có thông tin về việc liệu Microsoft có xác nhận lỗi hay họ đang khắc phục lỗi này hay không. Nhưng tôi cảm thấy việc công bố lỗ hổng bảo mật trên các sản phẩm như Windows 8 đang được hàng triệu người sử dụng hàng ngày của Google là một động thái vô trách nhiệm.
Thông tin sau đã được đăng về lỗi,
Trên bản cập nhật Windows 8.1, lệnh gọi hệ thống NtApphelpCacheControl (mã thực sự nằm trong ahcache.sys) cho phép dữ liệu tương thích của ứng dụng được lưu vào bộ nhớ đệm để sử dụng lại nhanh chóng khi các quy trình mới được tạo. Người dùng bình thường có thể truy vấn bộ đệm nhưng không thể thêm các mục mới được lưu vào bộ đệm vì thao tác này bị hạn chế đối với quản trị viên. Điều này được kiểm tra trong hàm AhcVerifyAdminContext.
Chức năng này có một lỗ hổng trong đó nó không kiểm tra chính xác mã thông báo mạo danh của người gọi để xác định xem người dùng có phải là quản trị viên hay không. Nó đọc mã thông báo mạo danh của người gọi bằng PsReferenceImpersonationToken và sau đó thực hiện so sánh giữa SID của người dùng trong mã thông báo với SID của LocalSystem. Nó không kiểm tra mức độ mạo danh của mã thông báo, vì vậy bạn có thể lấy mã thông báo nhận dạng trên chuỗi của bạn từ quy trình hệ thống cục bộ và bỏ qua kiểm tra này. Vì mục đích này, PoC lạm dụng dịch vụ BITS và COM để lấy mã thông báo mạo danh nhưng có lẽ có nhiều cách khác.
Nó chỉ là một trường hợp tìm cách khai thác lỗ hổng bảo mật. Trong PoC, một mục nhập bộ nhớ cache được tạo cho một tệp thực thi tự động nâng cấp UAC (giả sử ComputerDefaults.exe) và thiết lập bộ đệm ẩn để trỏ đến mục nhập tính toán ứng dụng cho regsvr32, điều này buộc một miếng đệm RedirectExe tải lại regsvr32.exe. Tuy nhiên, bất kỳ tệp thực thi nào cũng có thể được sử dụng, thủ thuật sẽ là tìm một cấu hình tính toán ứng dụng phù hợp có sẵn để lạm dụng.
Không rõ liệu Windows 7 có dễ bị tấn công hay không vì đường dẫn mã cho bản cập nhật có kiểm tra đặc quyền TCB trên đó (mặc dù có vẻ như tùy thuộc vào các cờ mà điều này có thể bị bỏ qua). Không có nỗ lực nào được thực hiện để xác minh nó trên Windows 7. LƯU Ý: Đây không phải là lỗi trong UAC, nó chỉ là sử dụng độ cao tự động của UAC cho mục đích trình diễn.
PoC đã được thử nghiệm trên bản cập nhật Windows 8.1, cả phiên bản 32 bit và 64 bit. Tôi khuyên bạn nên chạy trên 32 bit chỉ để chắc chắn. Để xác minh, hãy thực hiện các bước sau:
1) Đặt AppCompatCache.exe và Testdll.dll trên đĩa
2) Đảm bảo rằng UAC được bật, người dùng hiện tại là quản trị viên mã thông báo phân tách và cài đặt UAC là mặc định (không có lời nhắc cho các tệp thực thi cụ thể).
3) Thực thi AppCompatCache từ dấu nhắc lệnh với dòng lệnh “AppCompatCache.exe c: windowssystem32ComputerDefaults.exe testdll.dll”.
4) Nếu thành công thì máy tính sẽ chạy với tư cách quản trị viên. Nếu nó không hoạt động lần đầu tiên (và bạn nhận được chương trình ComputerDefaults), hãy chạy lại khai thác từ 3, đôi khi có sự cố về bộ nhớ đệm / thời gian trong lần chạy đầu tiên.
