У Windows 10 закрито дві небезпечні вразливості DHCP-клієнта
У Windows 10 закрито дві небезпечні вразливості DHCP-клієнта
Експерти виявили дві критично небезпечні вразливості в Microsoft Windows 10. Вони дозволяли атакуючому отримати доступ до комп'ютера на базі цієї операційної системи та перехопити конфіденційну інформацію. У березневому пакеті оновлень безпеки від Microsoft обидві вразливості було усунуто.
Вразливості виявлено в DHCP-клієнті, вбудованому в операційну систему Windows 10. Протокол DHCP відповідає за автоматичне підключення пристроїв до мережі — роздавати цим пристроям IP-адреси та інші параметри мережі. Він дозволяє виключити конфлікти в мережі, наприклад, дублювання IP-адрес, а також уникнути ручного налаштування на кожному пристрої окремо. Адміністратору достатньо один раз налаштувати DHCP-сервер на фізичному сервері або маршрутизаторі, щоб роздавати IP-адреси та інші параметри мережі DHCP-клієнтам (комп'ютерам співробітників, принтерам чи іншому устаткуванню). Роздача мережевих конфігурацій відбувається за запитом з певною періодичністю, яка визначається адміністратором.
«Подібні вразливості експлуатуються в такий спосіб. Зловмисник налаштовує на своєму комп'ютері DHCP-сервер, який відповідатиме на запити конфігурації мережі навмисне пошкодженими пакетами, — зазначив експерт. — У деяких мережах атакувати можна з мобільного телефону чи планшета. Далі зловмиснику потрібно дочекатися моменту, коли вразливий комп'ютер на базі Windows 10 запросить оновлення оренди IP-адреси (що відбувається зазвичай раз на пару годин), і надіслати нелегітимну відповідь, яка дає змогу отримати права анонімного користувача на комп'ютері жертви».
Проте, при розвитку атаки з використанням даної вразливості зловмисник міг зіткнутися з поруч труднощів. Права анонімного користувача мають обмеження: з такими привілеями заборонено доступ до користувача і системних процесів, папок і гілок реєстру, а також інших папок. А для підвищення привілеїв та продовження атаки можуть бути використані інші існуючі вразливості. За статистикою, робочі станції в організаціях загалом захищені незадовільно: у 100% випадків внутрішній зловмисник може захопити повний контроль над мережею. Наприклад, у 2017 р., після атаки Wannaсry, більш ніж у половині систем експерти виявили вразливість, яку використав цей вірус-вимагач. При цьому патч для неї було випущено за кілька місяців до епідемії.
Порушник також повинен був знаходитися в одній мережі з системою, що атакується. Але це міг бути зломщик, який одержав доступ до недостатньо захищеної робочої станції за допомогою фішингу. При цьому кінцевою метою могла бути критично важлива система, наприклад, автоматизована банківська система. Крім того, в деяких організаціях атака могла бути можлива і безпосередньо із зовнішніх мереж.
Обидві виявлені вразливості давали можливість проводити атаку, підмінюючи відповідь легітимного DHCP-сервера повідомленням порушника. Для атаки зловмисник мав надіслати спеціальний список DNS-суфіксів (CVE-2019-0726) або повідомити в DHCP-відповіді аномально велику кількість опцій (CVE-2019-0697).
Всі необхідні перевірки на наявність уразливостей CVE-2019-0726 та CVE-2019-0697 додані до бази знань системи контролю захищеності та відповідності стандартам MaxPatrol 8.
