Протокол CTF, що використовується у всіх версіях операційної системи Microsoft Windows, починаючи з XP, небезпечний
Протокол CTF, який використовується у всіх версіях операційної системи Microsoft Windows починаючи з XP, небезпечний
Стало відомо, що маловідомий протокол CTF, який використовується у всіх версіях операційної системи Microsoft Windows починаючи з XP, небезпечний і може бути використаний зловмисником для проведення цільової атаки. Про це повідомив ресурс ZDNet з посиланням на дослідника в сфері безпеки з команди Google Project Zero, який виявив проблему.
За словами експерта, вразливий протокол дозволяє хакерам захопити будь-який додаток, у тому числі запущений з повноваженнями адміністратора або навіть усю ОС цілком.
Як саме розшифровується абревіатура CTF невідомо – не вдалося знайти інформацію про це у документації Microsoft. Однак відомо, що CTF є частиною Windows Text Services Framework (TSF) – системи, яка відповідає за виведення тексту у Windows та додатках для неї.
Коли користувач запускає програму, Windows також стартує CTF-клієнт для цієї програми. CTF-клієнт надалі отримує відомості про системну мову ОС та метод введення з клавіатури. CTF-сервер веде безперервний моніторинг даних параметрів, і у разі їх зміни, віддає команду CTF-клієнту, щоб той у режимі реального часу «підлаштувався» під них.
З'ясувалося, що процес взаємодії між CTF-клієнтом та його сервером ніяк не захищений, тобто будь-яка програма, користувач або навіть ізольований процес може елементарно підключитися до сесії CTF.
Хоча CTF-сервер і вимагає від свого клієнта ідентифікатори потоку, процесу та вікна (HWND), проте через відсутність будь-якого механізму аутентифікації ніщо не заважає передати підроблені дані
Отже, встановивши контроль над CTF-сесією програми, зловмисник може відправляти команди на адресу цих програм, маскуючись під CTF-сервер. За допомогою даної техніки хакери отримують можливість красти дані із запущених програм, або керувати ними. Якщо ж програма запущена з підвищеними привілеями, ніщо не завадить атакуючому захопити повний контроль над комп'ютером жертви.
Захоплено може бути будь-яка програма або процес Windows, що відображають текст у інтерфейсі користувача. На підтвердження своїх слів експерт записав відео, в якому успішно захопив CTF-сесію екрана входу в систему Windows 10.
ZDNet повідомляє, що Microsoft випустила виправлення (CVE-2019-1162), яке вирішує описану проблему щодо підвищення привілеїв. Проте, як зазначають журналісти, сам протокол CTF потребує модернізації, оскільки вразливий через свою архітектуру.
Дослідник виклав на GitHub інструмент, який дозволить дослідникам самостійно протестувати протокол на наявність інших проблем безпеки, а також опублікував у блозі Google Project Zero більш детальний опис проблеми
