Noll
En säkerhetsforskare från Colombia har hittat ett sätt att få admin rättigheter och starta uthållighet på Windows-Datorer som är enkelt att utföra och svårt att sluta –alla de funktioner som hackare och skadliga program letar efter från en exploatering teknik.
Vad som är mer förvånande är att tekniken var första detaljerade sätt tillbaka i December 2017, men trots dess många fördelar och lätthet av exploatering, det har inte fått antingen media och inte heller har sett anställda i malware kampanjer.
Upptäckt av Sebastian Castro, en säkerhetsforskare för CSL, tekniken mål som en av de parametrar av Windows-användarkonton känd som den Relativa Identifierare (RID).
RID är en kod läggas till i slutet av konto säkerhetsidentifierare (Sid) som beskriver att användarens behörigheter grupp. Det finns flera RIDs som finns, men de vanligaste är 501 för standard konto, och 500 för admin-konton.
Bild: Sebastian Castro
Castro, med hjälp från CSL VD Pedro García, upptäckte att genom att mixtra med registernycklar för att lagra information om varje Windows-konto, att han kunde ändra BLI associerade med ett visst konto och ge det en annan RID, för ett annat konto gruppen.
Tekniken inte tillåter en hackare att på distans infektera en dator om att datorn har varit dåraktigt vänster exponeras på Internet utan ett lösenord.
Men i de fall där en hacker har ett fotfäste på en system-antingen via skadlig programvara eller genom att brute-tvinga ett konto med ett svagt lösenord– hacker kan ge admin-behörighet till ett nedsatt låg-nivå-konto, och får en permanent bakdörr med fullt tillträde till SYSTEMET på en Windows PC.
Eftersom registernycklar är även starta ihållande, alla ändringar som görs till ett konto s att BLI kvar permanent, eller tills den är fast.
Attacken är också mycket tillförlitliga, eftersom de är testade och fann att arbeta med Windows-versioner som går från XP till 10 och från Server 2003-Server 2016, men även äldre versioner bör vara sårbara, åtminstone i teorin.
“Det är inte så lätt att upptäcka när de utnyttjas, eftersom denna attack skulle kunna distribueras med hjälp av OS resurser utan att utlösa någon varning till offret,” Castro berättade ZDNet i en intervju förra veckan.
“Å andra sidan, jag tror att det är lätt att upptäcka när man gör kriminalteknisk verksamhet, men du måste veta var du ska leta på.
“Är det möjligt att ta reda på om en dator har varit ett offer för att BLI kapning genom att titta in på [Windows] – registret och kontrollera för inkonsekvenser SAM [Security Account Manager],” Castro läggas till.
En död giveaway är om en gäst-konto SID avslutas med en “500” RID, en tydlig vink gästkontot har admin rättigheter och att någon har mixtrat med registernycklar.
Bild: Sebastian Castro
CSL forskare har skapat och släppt en modul för Metasploit Framework som automatiserar attack, för pen-testning.
“Vi nådde ut Microsoft så snart som modulen har utvecklats, men vi har inte fått någon form av reaktion från dem,” Castro berättade för oss. “Och nej, det är inte redan har lappat.”
Det är oklart varför Microsoft har inte svarat, men forskaren har varit på en tur i sommar, presentera sina resultat i olika it-säkerhet konferenser, såsom Sec-T, RomHack, och DerbyCon. En video av hans senaste presentation som finns inbäddad nedan.
“Såvitt jag vet fanns det ingen internet dokumentation om detta särskilt attack när jag publicerade bloggen beskriver det,” Castro berättade ZDNet. “Eftersom detta är en enkel teknik, men jag tror inte att det bara mitt företag och jag visste om det här.”
Men medan vissa smart hackar som en Castro har dokumenterat har varit kända för att glida igenom och få någon täckning i medier, de har ofta inte gå obemärkt förbi malware författare.
BLI kapning är enkel, smygande, och ihållande –bara vad som hackare gillar mest med Windows brister. Men i det här fallet, BLI kapning verkar ha fallit av skadlig kod.
“Jag är inte medveten om någon skadlig kod med hjälp av denna envishet teknik,” Castro berättade för oss. “Jag frågade några malware analytiker om det, men de sa att de inte sett detta som genomförs på malware.”
RELATERADE TÄCKNING:
Oracle fläckar 301 sårbarheter, inklusive 46 med en 9.8+ risknivå Efter två decennier av PHP-webbplatser fortfarande exponera känslig information via debug-lägeChrome, Edge, IE, Firefox och Safari för att inaktivera TLS 1.0 och TLS 1.1 år 2020Microsoft JET sårbarhet fortfarande öppna för attacker, trots den senaste tidens patchMicrosoft Windows noll-dag sårbarhet lämnas ut via Twitter TechRepublicDessa populära Android-telefoner kom med sårbarheter förinstallerade CNETsäkerhetsbrist i libssh lämnar tusentals servrar vid risk för kapningNoll dagar, fileless attacker är nu en av de farligaste hoten till företaget
Relaterade Ämnen:
Windows
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0