Черговий кумулятивний патч для продуктів Microsoft виправив понад 70 різних вразливостей
Черговий кумулятивний патч для продуктів Microsoft виправив понад 70 різних вразливостей
Черговий кумулятивний патч для продуктів Microsoft виправив понад 70 різних уразливостей, проте до однієї з найсерйозніших негайно з'явився експериментальний експлойт.
Йдеться про баг CVE-2019-0841, що допускає підвищення привілеїв у Windows 10, Windows Server 2019 та Server Core. Експерт з безпеки компанії Dimension, один із тих, хто виявив вразливість і повідомив про свою знахідку в Microsoft, відразу після випуску патчу опублікував експериментальний експлойт.
Вразливість пов'язана з неправильною обробкою так званих жорстких посилань (складових файлу, що описують його елемент каталогу) службою AppX Deplyment Service (AppXSVC), яка відповідає за запуск програм Windows, їх інсталяцію та деінсталяцію.
Зловмисник з низькими привілеями в системі може використовувати цей баг для запуску процесів з підвищеними привілеями серед Windows 10 і Windows Server.
Як написав сам дослідник, низькопривілейовані користувачі можуть захоплювати контроль над файлом, керованим Nt Authority\System (локальний системний обліковий запис з вищими привілеями), перезаписуючи дозволи до нього. У результаті потенційний зловмисник може отримати повний контроль над фактично будь-яким файлом у системі.
У порядку демонстрації дослідник використовував конфігураційний файл (settings.dat) для Microsoft Edge в контексті звичайного, непривілейованого користувача, і з його допомогою зміг отримати повний контроль над файлом hosts, який можуть модифікувати лише адміністратори або системний обліковий запис.
Сам експерт так описує процес. Експлойт спочатку перевіряє існування цільового файлу, і якщо файл існує, перевіряються його дозволи. Оскільки ми використовуємо Microsoft Edge для цього експлойта, процес браузера буде ліквідовано, щоб можна було отримати доступ до файлу settings.dat.
Після того, як Microsoft Edge «вбито», експлойт шукає файл settings.dat і видаляє його, щоб створити жорстке посилання до цільового файлу (у нашому випадку це "hosts").
Як тільки жорстке посилання створено, Microsoft Edge запускається знову, щоб спрацювала вразливість. Проводиться перевірка, що дозволяє переконатися, що тепер поточний користувач має повний контроль над файлом.
Експерт зазначив, що існує низка умов, за яких атака реалізується. Наприклад, Nt Authority System повинен мати повний контроль над файлом, який цікавить зловмисників. Низькопривілейований користувач або група користувачів, до якої він входить, повинні мати дозволи на читання та запис у системі (Read/Execute). Ці дозволи мають бути успадкованими.
У Microsoft вважають, що шанси на реалізацію цього сценарію невеликі навіть у системі, де виправлення ще не встановлено.
«Проте, якщо шанси є, ігнорувати їх не можна, — вважає експерт з інформаційної безпеки. — Можливість підвищення привілеїв у системі — це в будь-якому випадку серйозно, а значить, оновлення для Windows необхідно накочувати якнайшвидше. Особливо з огляду на те, що код експлойту вже існує, і це лише питання часу, коли ним почнуть користуватися зловмисники».
