Дослідники безпеки McAfee виявили вразливість у голосовому помічнику Microsoft Cortana
Дослідники безпеки McAfee виявили вразливість у голосовому помічнику Microsoft Cortana
За допомогою Cortana можна прочитати файли та запускати програмне забезпечення на заблокованому ПК під Windows 10
Уразливість у Cortana
За допомогою голосового помічника Cortana хакер може запустити виконання шкідливого коду на комп'ютері, навіть якщо екран заблокований. Про це повідомили дослідники безпеки компанії McAfee. Вразливість набула кодова назва CVE-2018-8140. Microsoft тільки-но випустила оновлення Windows 10, яке її усуває.
Пошук файлів
У ході дослідження фахівці McAfee скористалися тим фактом, що Windows індексує файли та їх вміст для полегшення пошуку за ними. Одночасно вони врахували, що Cortana налаштована допомагати користувачу у пошуках різного контенту та слухає його навіть тоді, коли комп'ютер заблоковано. У результаті з'ясувалося, що якщо хакер при заблокованому екрані звернеться до голосового помічника, і продиктує йому для введення якісь символи - наприклад, комбінацію pas - то йому у вигляді контекстного меню буде показано пошукову видачу, що містить назви файлів, в яких є введений фрагмент .
Далі, навівши курсор на будь-який з результатів пошуку, хакер побачить спливаючу підказку, в якій вказано шлях до файлу, а іноді і фрагмент його вмісту, якщо цей фрагмент містить збіг із введеною комбінацією символів. Наприклад, навівши курсор на назву файлу taxes password.txt, можна побачити фрагмент TurboTax password: IL0v3P4yingT4x3$, дізнавшись таким чином пароль від програми підготовки прибуткового податку TurboTax.
Запуск шкідливого коду
Поекспериментувавши з різними типами файлів у пошуковій видачі, фахівці McAfee змогли запустити такі програми, як калькулятор, просто натиснувши на їх назви. Також вдалося відкрити у текстовому вигляді, але не виконати деякі скрипти, наприклад PowerShell. Отримати доступ до командного рядка не вдалося. З'ясувалося також, що при натисканні правою клавішею миші в результаті пошуку випадають меню, де пропонується відкрити місцезнаходження файлу або скопіювати повний шлях до нього, причому ці меню варіюються для різних типів файлів.
Також виявилося, що на запит txt голосовий помічник знаходить текстові файли і виводить в результати пошуку ті з них, які переглядалися останніми.
Тоді дослідники вирішили помістити скрипт PowerShell у публічну папку або у сховище OneDrive, вміст якого також індексується, включаючи папки спільного використання. Просто підключити USB-пристрій зі скриптом не можна, оскільки файли на накопичувачі не проіндексовані. Потім вчені покликали Cortana і продиктували для введення комбінацію PS1. Cortana видала щойно проіндексований скрипт PowerShell із OneDrive у результатах пошуку, і дослідники відкрили його у текстовому форматі.
Далі вони попросили OneDrive виконати пошуковий запит txt. Оскільки PowerShell щойно відкривався, він потрапив у пошукову видачу нещодавно переглянутих файлів. Виявилося, що якщо в результатах саме цього пошуку натиснути на нього правою клавішею миші, система запропонує запустити його вже не в текстовому вигляді, а за допомогою PowerShell.
Доступ до командного рядка
Однак описана вище атака не буде успішною без доступу до командного рядка. Але, як з'ясувалося, Cortana може вирішити цю проблему. Виявилося, що якщо відразу після пробудження голосового помічника користувач натискає на якусь клавішу, наприклад, пробіл, то на екрані випадає контекстне меню з порожнім полем пошуку.
У це поле слід ввести команду. Як тільки система розпізнає у введеному наборі символів саме команду, вона виведе пункт меню «Команди» на екран. Правий клік мишею у цьому слові призводить до пункту «Запустити на правах адміністратора». Клікнувши на цьому пункті, хакер досягне виконання команди на заблокованому пристрої.
