0
Microsoft beweert “geen bekende ransomware” draait op Windows, 10 S, de nieuwste, die gericht zijn op beveiliging van het besturingssysteem.
De softwaregigant aangekondigd dat de Windows-versie die eerder dit jaar als het vlaggenschip van de student gericht besturingssysteem om het schip met zijn nieuwste Oppervlak Laptop. Microsoft aangeprezen het besturingssysteem als minder gevoelig voor ransomware vanwege de vergrendelde configuratie — naar het punt waar je niet kan draaien alle apps buiten de beschermende ommuurde tuin van haar app store. Om een app goedgekeurd, het moet gaan door middel van strenge testen om ervoor te zorgen haar integriteit. Dat is een van de oplossingen die helpt bij de bescherming van het besturingssysteem bekend bestand versleutelen van malware.
We wilden kijken of zo ‘ n gedurfde claim kon houden.
Spoiler alert: Het niet.
Vorige week zijn debuut dag kregen we onze handen op een nieuw Oppervlak Laptop, het eerste apparaat in zijn soort voor het uitvoeren van Windows 10 S. We opgestart, ging door het setup-proces, gemaakt van een offline account en geïnstalleerd met een keur van uitstekende beveiliging patches — net als elke andere gewone gebruiker zou (hopelijk) doen.
En toen we vroegen Matthew Hickey, een security-onderzoeker en co-oprichter van cybersecurity bedrijf Hacker Huis, een vraag is eenvoudig genoeg: ransomware wordt geïnstalleerd op dit besturingssysteem?
Het duurde iets meer dan drie uur aan mislukking van het besturingssysteem verschillende lagen van beveiliging, maar hij kreeg er.
“Ik ben eerlijk gezegd verbaasd dat het zo makkelijk zou zijn,” zei hij in een gesprek na zijn aanval. “Toen ik keek naar de branding en de marketing voor het nieuwe besturingssysteem, dacht ik, ze hadden verder verbeterd. Ik zou al wilde meer beperkingen op het uitvoeren bevoorrechte processen in plaats van een kort proces.”
Maar Windows 10 S presenteert een aantal hindernissen worden genomen. Het is niet alleen beperkt tot winkel-alleen apps, maar het doet er niet toe dat de gebruiker iets is dat niet nodig. Dat betekent dat er geen commando prompt, geen toegang tot scripts, tools, en geen toegang tot PowerShell is een krachtige tool vaak gebruikt (en misbruikt) door hackers. Als een gebruiker probeert te openen van een verboden app, Windows onmiddellijk vertelt de gebruiker dat het is off-limits. Bottom line: Als het niet in de app store, het zal niet worden uitgevoerd.
Het kraken van Windows 10 S was een moeilijker taak dan we hadden verwacht.
Maar een gemeenschappelijke aanval punt bestaat. Hickey was in staat om te exploiteren hoe Microsoft Word, beschikbaar om te downloaden uit de Windows app store, de handgrepen en processen op macro ‘ s. Deze meestal kleine, script-gebaseerde programma ‘ s zijn ontworpen om taken te automatiseren, maar ze worden ook vaak gebruikt door malware schrijvers.
Hier is hoe hij het deed.
Hickey een kwaadaardige, macro-based Word-document op zijn eigen computer wanneer geopend hem in staat zou stellen tot het verrichten van een reflecterende DLL-injectie aanval, waardoor hij de bypass in de app store beperkingen door het injecteren van code in een bestaande, erkende proces. In dit geval, wordt Word geopend met administratieve privileges via Windows taakbeheer, een eenvoudig proces, gezien de offline gebruikersaccount standaard beheerdersbevoegdheden heeft. (Hickey zei dat proces kan ook geautomatiseerd worden met een grotere, meer gedetailleerde macro, als hij meer tijd had.)
Maar gezien de gevaren die geassocieerd worden met macro ‘s, Word de’ beveiligde weergave ‘blokken macro’ s worden uitgevoerd wanneer er een bestand wordt gedownload van internet of hebt ontvangen als een e-mailbijlage. Om rond te komen die beperking, Hickey gedownload van de kwaadaardige Word-document dat hij opgebouwd is uit een netwerk delen, die Windows mening een vertrouwde locatie, geven hem toestemming om de macro uit te voeren, zo lang als hij kon van een waarschuwing aan de bovenkant van het scherm. Het document kan eenvoudig de punt van een pijl naar de bar, het vertellen van de gebruiker schakel de beveiligde modus om te zien de inhoud van het document — een gemeenschappelijke sociale techniek wordt gebruikt in de macro-gebaseerd ransomware. (Als hij het fysieke toegang tot de computer, hij kon ook de bestanden vanaf een USB-stick, maar hij zou zijn om de blokkering handmatig het bestand van de eigenschappen van het bestand-menu — zo eenvoudig als het klikken op een selectievakje.)
Vele macro-enabled schadelijke Word-documenten aan de gebruiker gevraagd de inhoud, zoals hier te zien is. (Afbeelding: ZDNet)
Zodra de macro ‘ s zijn ingeschakeld, wordt de code uitgevoerd en geeft hem toegang tot een shell met de toegangsrechten van de beheerder.
Van daar, was hij in staat om te downloaden op een lading met behulp van Metasploit, een gemeenschappelijke penetratie testen van software, die aansluit op het besturingssysteem zijn eigen cloud-gebaseerde command en control-server, effectief, zodat hij op afstand bedienen van de computer. Van daar, hij was in staat om het hoogste niveau van toegang tot, het “systeem” voorrechten, door het openen van een “systeem”-proces op het niveau en met dezelfde DLL-injectie-methode.
Door het verkrijgen van het “systeem” privileges, hij had vrije toegang tot de hele computer.
“Van hier kunnen we beginnen met het draaien van dingen in-en uitschakelen — antimalware, firewall, en override-het gevoelige Windows-bestanden,” zei hij. Met een paar stappen, de computer zou volledig kwetsbaar en niet in staat te verdedigen tegen malware.
“Als ik het wilde installeren ransomware, die kunnen worden geladen op,” zei hij. “Het is game over.”
Om te bewijzen dat hij het niveau van toegang, stuurde hij mij een screenshot met het leesbare tekst wachtwoord van het Wi-Fi-netwerk waarmee de computer is verbonden, iets dat alleen beschikbaar is voor “systeem”-niveau processen.
“We hebben overwogen het verlaten van de laptop spelen ‘AC/DC-Thunderstruck’ op de loop voor je, maar we wilden niet te verstoren uw buren of huisdieren!” grapte hij.
“We konden zelfs met iets als Locky, een DLL-gebaseerde ransomware, en voer het uit, zodat het coderen van de bestanden in uw documenten en aanvragen van een toets door het instellen van de achtergrond,” zei hij.
Hoewel hij werd toestemming gegeven, Hickey gestopt korte installeren van de ransomware, onder vermelding van de mogelijke risico ‘ s naar andere apparaten op het netwerk. “We hebben bleek het punt genoeg,” zei hij. “We kunnen doen wat we wilden,” zei hij.
“SYSTEEM” is het hoogste niveau van bevoegdheden. Het is game over. (Afbeelding: Matthew Hickey)
Van het knallen van de shell, die nam hem mee “een kwestie van minuten,” hij was in staat om te winnen van het volledige systeem-brede toegang tot het besturingssysteem in een paar uur. “Dat is omdat we wisten al van dit soort aanvallen en deze soorten technieken, en we weten dat het werkt voor ons in het verleden,” zei hij.
Hickey geen gebruik van eerder onbekende of zogenaamde zero-day-kwetsbaarheden om het uitvoeren van de aanval, maar hij zei dat deze aanval keten kan worden uitgevoerd op verschillende andere manieren.
Hoewel Hickey gebruikt publiekelijk bekend technieken die op grote schaal worden begrepen door security-experts, we toch een particulier op de hoogte van Microsoft security team van de aanval proces voorafgaand aan de publicatie.
Voor zijn deel, Microsoft afgewezen claims.
“In het begin van juni, hebben we vastgesteld dat Windows 10 S is niet kwetsbaar voor enige bekende ransomware, en gebaseerd op de informatie die wij ontvangen van ZDNet die verklaring geldt”, aldus een woordvoerder. “We erkennen dat de nieuwe aanvallen en malware ontstaan voortdurend, dat is de reden waarom [we] zijn toegewijd aan het toezicht op de bedreiging van het landschap en het werken met de verantwoordelijke onderzoekers om ervoor te zorgen dat Windows 10 blijft de meest veilige mogelijke ervaring voor onze klanten.”
Deze hack is misschien niet de mooiste of gemakkelijkste om op te starten. Je zou kunnen zeggen dat de hack nam te veel stappen, dat zou het niet worden gerepliceerd in de echte wereld, en dat dit het geval zou zijn gebaseerd op ‘social engineering’ of fysieke toegang tot een apparaat, in plaats van een bewapende bestand om te starten op een dubbel-klik. Dat gezegd hebbende, hackers niet bekend op te geven na iets meer dan drie uur indringende kwetsbaarheden.
In het einde, Microsoft zegt dat “geen bekende ransomware” werkt op het besturingssysteem, maar door het verkrijgen van de “systeem”-niveau toegang toonden we aan dat het heel goed mogelijk om de controle van de machine te installeren ransomware.
Als er een les te leren (en herhaald), is het wel dat niets is niet te breken.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET ONDERZOEKEN
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens, en verwachten discriminatie, hechtenis, huiszoeking en verhoor
Gelekt: TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
Aan de schimmige tech makelaars dat levert de data voor de NSA
Trump aides’ gebruik van versleutelde berichten kunnen schenden records wet
Een niet-beveiligde database bladeren off-the-grid energie klanten blootgesteld
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
Beveiligingsfouten in het Pentagon servers “waarschijnlijk” is onder aanval door hackers
Onthuld: Hoe een Amazon Kindle scam miljoenen dollars
AMERIKAANSE regering onderaannemer lekken van vertrouwelijke militairen gegevens
0