Уязвимость в Windows позволяет похитить учетные данные без взаимодействия с пользователем. В Windows найдена уязвимость для получения привилегий системного уровня

Существуют угрозы и риски, скрывающиеся даже в самых надежных и хорошо известных операционных системах, и с точки зрения уязвимостей, которые могут использоваться для совершения атак нулевого дня.

Несколько дней назад стало известно о новой уязвимости в Windows, которая негативно влияет на работу этой операционной системы и ставит под угрозу все ПК, использующие Windows 10, хотя, по всей видимости, она влияет на все версии.

Подробности новой уязвимости

Некоторые исследователи обнаружили уязвимость, которая возникает в Планировщике задач Windows, а именно в локальном вызове процедур APLC (Advanced Local Procedure Call). После ее выявления другие пользователи также расследовали и подтвердили существование данного риска. Один из таких пользователей – Фил Дорманн, аналитик по уязвимостям в CERT/CC, который подтвердил , что 64-битные версии Windows 10 по-прежнему имеют эту дыру безопасности.

Управление данным интерфейсом отвечает за помощь клиентскому процессу взаимодействия с серверным процессом. Эксплуатация данной уязвимости позволяет локальным пользователям получать повышенные системные права и, таким образом, получать контроль над устройством.

На данный момент нет доступных патчей для устранения этой уязвимости. Однако Microsoft сообщил, что они знают о данной уязвимости и усиленно работают над решением проблемы в максимально сжатые сроки, чтобы выпустить патч для устранения уязвимости. Патч должен стать доступным для всех целевых устройств через Центр обновления Windows в ближайшие несколько дней.

Если говорить про патчи, то самое главное – это знать, какие в системе существуют уязвимости и какие патчи требуется применить. С точки зрения безопасности корпоративных сетей с помощью Panda Patch Management вы можете управлять уязвимостями и их соответствующими обновлениями и патчами как для операционных систем, так и для сотен сторонних приложений. Patch Management осуществляет аудит и мониторинг, а также определяет приоритеты у обновлений для операционных систем и приложений, дополняя вашу систему защиты и усиливая ваши возможности по предотвращению, сдерживанию и реагированию на угрозы, что позволяет существенно сократить поверхность атаки.

Решение обеспечивает видимость «здоровья» конечных устройств в реальном времени с точки зрения уязвимостей, патчей или недостающих обновлений, а также неподдерживаемого ПО, которое находится на стадии окончания жизненного цикла (EoL).

Пока Microsoft выпускает патч для устранения данного нарушения безопасности, Panda предлагает вам следующие рекомендации для защиты вашей корпоративной сети:

• Наличие программы для защиты от эксплойтов поможет вам защититься от серьезных атак. Решение с функциями расширенной безопасности содержит функцию динамического обнаружения эксплойтов, которая защищает веб-браузеры и их плагины, а также другие компоненты, установленные на компьютерах.
• Будьте предельно осторожны с файлами, которые вы скачиваете с небезопасных сайтов или физических устройств.
• «Нулевой день» означает проблему, которая еще не имеет решения. Вот почему мы рекомендуем иметь многоуровневую защиту подобно той, что предлагает Panda Adaptive Defense, которая соответствует комплексной стратегии безопасности, основанной на различных типах ПО безопасности и технологий.
• Применение патчей и обновлений, предоставляемых производителями ваших программ, снижает риск стать жертвой уязвимостей. Такой подход также гарантирует, что уязвимость не станет инструментом для совершения кибер-преступлений. Такие атаки нулевого дня выполняются против приложений или систем с целью запуска вредоносного кода, который использует знания об уязвимости, неизвестной для общественности или производителя.

Снижайте риски и упрощайте задачи управления уязвимостями.

0-day уязвимость, позволяющая злоумышленникам получить права системного уровня. О проблеме сообщил пользователь Twitter с ником SandboxEscaper. PoC-код эксплойта доступен на GitHub.

Актуальная уязвимость Windows

Проблема заключена в планировщике задач Windows. При обработке средства ALPC для межпроцессного взаимодействия возникает возможность получить привилегии на уровне SYSTEM. Она может быть использована злоумышленниками для расширения возможностей вредоносных программ.

По словам руководителя координационного центра CERT Уилла Дорманна (Will Dormann), уязвимость остается актуальной. Работоспособность PoC-кода была проверена на 64-битной Windows 10 с последними обновлениями. Повысить права пользователя можно до уровня SYSTEM.

I"ve confirmed that this works well in a fully-patched 64-bit Windows 10 system.
LPE right to SYSTEM! https://t.co/My1IevbWbz

В ответ на письмо издания The Register представитель Microsoft объявил, что они в курсе проблемы. Компания пообещала выпустить обновление с исправлением уязвимости.

Временный патч

Инженеры компании Acros Security опубликовали временный патч для уязвимости в 64-разрядной версии Windows 10 v1803 в составе их платформы 0patch . Она предназначена для исправления 0-day и других непропатченных уязвимостей, для поддержки устаревших продуктов и кастомного софта. Разработчики опубликовали аналогичный патч для Windows 2016 Server 31 августа 2018 года.

Подобные проблемы возникают и на Unix-подобных системах. В июне 2017 года баг, позволяющий получить root-привилегии через команду sudo .

Исследователь компании SpecterOps Мэтт Нельсон (Matt Nelson) рассказал в корпоративном блоге о том, как обойти защитные функции Windows 10 и выполнить сторонний код, сообщает Threatpost .

Уязвимость оказалась связана с новым форматом системных ссылок, сменивших в последней версии ОС классическую панель управления.

По словам эксперта, он поставил себе целью найти тип файлов, который позволит запустить код из внешнего источника. Для проникновения в систему Нельсон решил воспользоваться функцией связывания и внедрения объектов (Object Linking and Embedding, OLE). Она позволяет приложениям получать данные извне и добавлять исполняемые объекты, например Flash-приложение в Word-документ. Злоумышленники пользуются этим для проведения целевых атак, кражи конфиденциальной информации и распространения зловредов.

Для безопасности пользователя, начиная с MS Office 2016, разработчики ограничили набор форматов, с которыми может работать технология OLE. Кроме того, функция сокращения площади атаки (Attack Surface Reduction, ASR) блокирует запуск дочерних процессов с помощью встроенных в документ скриптов.

“Я потратил многие часы в поисках новых форматов, которые разрешали бы выполнение кода, - рассказывает эксперт. - В итоге я наткнулся на *.SettingContent-ms - такие файлы позволяют пользователям менять настройки Windows 10 через ссылки на специальной странице”.

Нельсон выяснил, что фактически это обычные XML-документы, и нашел в их коде тег, отвечающий за открытие специфической настройки при клике на соответствующем ярлыке. Как оказалось, в нем можно прописать любой исполняемый файл, и система запустит его без каких-либо предупреждений. Более того, Нельсон смог таким образом выстроить цепочку команд - это значит, что злоумышленник может скрыть вредоносную активность, открыв страницу, которую ожидает увидеть жертва атаки.

Чтобы доставить опасный скрипт на машину, достаточно заманить пользователя на скомпрометированную веб-страницу. По словам эксперта, штатные защитные системы Windows позволили ему скачать и запустить файл, не увидев в нем каких-либо подозрительных свойств.

При этом, поскольку формат.SettingContent-ms отсутствует в черном списке потенциально зловредных расширений, ОС разрешает ему запускать дочерние процессы. В результате под угрозой оказываются даже компьютеры с максимальными настройками безопасности, утверждает эксперт.

Нельсон передал информацию об уязвимости Microsoft в феврале. В июне специалисты Microsoft Security Response Center признали брешь недостаточно серьезной для отдельного рассмотрения и закрыли вопрос.

По мнению экспертов, ближайшие обновления безопасности Windows могут запретить исполнение файлов.SettingContent-ms через OLE.

компания Microsoft представила исправление для опасной уязвимости, которая позволяет похищать хеши NTLM-паролей без всякого взаимодействия с пользователем (бюллетень ADV170014). Однако пока уязвимость устранена только в Windows 10 и Server 2016, а обнаруживший баг колумбийский ИБ-специалист Хуан Диего (Juan Diego) до сих пор не сумел разобраться, что именно приводит к возникновению проблемы.

Эксплуатация уязвимости осуществляется очень просто и не требует никакой технической подготовки и знаний. Атакующему достаточно поместить вредоносный файл SCF (Shell Command File) в публично доступную директорию Windows. После этого, благодаря некоему загадочному багу, файл будет выполнен, произведет сбор NTLM хеша и отправит собранные данные на сервер злоумышленника. После этого атакующему останется только взломать полученный хеш.

К счастью, для большинства пользователей такие атаки не представляют угрозы. Дело в том, что по умолчанию публичные папки в Windows защищены паролем, а наличие пароля сразу ставит на атаке крест. Тем не менее, в своем блоге Диего отмечает, что во многих школах, публичных сетях и на предприятиях пароли для публичных директорий не устанавливаются. К тому же, патчи доступны лишь для пользователей Windows 10 и Windows Server 2016, тогда как другие версии ОС по-прежнему уязвимы.

При этом Диего до сих пор не может понять, как именно работает данный баг. Исследователь подробно объяснил журналистам Bleeping Computer , что файлы SCF поддерживают ограниченный набор команд для Windows Explorer (к примеру, открытие окна Windows Explorer или переход на Рабочий стол - Show Desktop). Но если ранее атаки с использованием SCF предполагали, что баг сработает, когда жертва откроет целевую папку, то на этот раз Диего обнаружил, что вредоносная команда из файла SCF срабатывает сразу после помещения вредоноса в директорию. То есть злоумышленнику даже не нужно ждать, когда пользователь откроет нужную общую папку.

«Данная атака срабатывает автоматически. Но лежащая в основе проблема, которая ее провоцирует, до сих пор мне неизвестна. Microsoft скрытничает на этот счет», - говорит специалист.

Диего сообщает, что уже работает над другими способами эксплуатации уязвимости. И хотя в классификации Microsoft бюллетень ADV170014 носит рекомендательный, а не обязательный характер, исследователь настоятельно рекомендует пользователям не пренебрегать этими патчами и обновиться.