Microsoft едва успела захлопнуть «дыру», позволявшую полностью захватить Windows

Софт Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев 2446

Ошибка в обработке жестких ссылок Windows позволила исследователю захватить полный контроль над файлом hosts из-под аккаунта обычного пользователя, не имеющего административных разрешений в системе. Экспериментальный эксплойт уже выпущен.


Жестко по ссылкам

Очередной кумулятивный патч для продуктов Microsoft исправил более 70 различных уязвимостей, однако к одной из самых серьезных немедленно появился экспериментальный эксплойт.

Речь идет о баге CVE-2019-0841, допускающем повышение привилегий в Windows 10, Windows Server 2019 и Server Core. Эксперт по безопасности компании Dimension Data Набил Ахмед (Nabeel Ahmed), один из тех, кто обнаружил уязвимость и сообщил о своей находке в Microsoft, сразу же после выпуска патча опубликовал экспериментальный эксплойт.

Уязвимость связана с неправильно обработкой так называемых жестких ссылок (составляющих файла, описывающих его элемент каталога) службой AppX Deplyment Service (AppXSVC), которая отвечает за запуск приложений Windows, их инсталляцию и деинсталляцию.

Злоумышленник с низкими привилегиями в системе может использовать этот баг для запуска процессов с повышенными привилегиями в среде Windows 10 и Windows Server.

windows600.jpg
Уязвимость в Windows 10 допускает повышение привилегий

Как написал сам исследователь, низкопривилегированные пользователи могут захватывать контроль над файлом, управляемым Nt Authority\System (локальный системный аккаунт с высшими привилегиями), перезаписывая разрешения к нему. В итоге потенциальный злоумышленник может получить полный контроль над фактически любым файлом в системе.

Захватить hosts

В порядке демонстрации Ахмед использовал конфигурационный файл (settings.dat) для Microsoft Edge в контексте обычного, непривилегированного пользователя, и с его помощью смог получить полный контроль над файлом hosts, который могут модифицировать только администраторы или системный аккаунт.

Сам эксперт так описывает процесс. Эксплойт сначала проверяет существование целевого файла, и если файл существует, проверяются его разрешения. Поскольку мы используем Microsoft Edge для этого эксплойта, процесс браузера будет ликвидирован, чтобы можно было получить доступ к его файлу settings.dat.

После того как Microsoft Edge «убит», эксплойт ищет файл settings.dat и удаляет его, чтобы создать жесткую ссылку к целевому файлу (в нашем случае это "hosts").

Как только жесткая ссылка создана, Microsoft Edge запускается заново, чтобы сработала уязвимость. Производится проверка, позволяющая убедиться, что теперь у текущего пользователя есть полный контроль над файлом.

Эксперт отметил, что существует ряд условий, при которых атака реализуема. Например, Nt Authority\System должен иметь полный контроль над файлом, который интересует злоумышленников. Низкопривилегированный пользователь или группа пользователей, в которую он входит, должны иметь разрешения на чтение и запись в системе (Read/Execute). Эти разрешения должны быть унаследованными.

В Microsoft полагают, что шансы на реализацию этого сценария невелики даже в системе, где исправления еще не установлены.

«Тем не менее, если шансы есть, игнорировать их нельзя, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Возможность повышения привилегий в системе — это в любом случае серьезно, а значит обновления для Windows необходимо накатывать как можно скорее. Особенно учитывая, что код эксплойта уже существует, и это лишь вопрос времени, когда им начнут пользоваться злоумышленники».