Nul
En sikkerhedsekspert fra Colombia har fundet en måde at få admin rettigheder og boot persistens på Windows-Pc ‘ er, der er simpel at udføre og svært at stoppe –alle de funktioner, som hackere og malware-forfattere er på udkig efter fra en udnyttelse af teknik.
Hvad der er mere overraskende, er, at teknikken var første detaljerede vej tilbage i December 2017, men trods sine mange fordele og lethed for udnyttelse, har det ikke fået enten mediedækning og har heller ikke været set ansat i malware kampagner.
Opdaget af Sebastian Castro, en sikkerhedsekspert for CSL, teknik, mål, et af parametrene for Windows-brugerkonti kendt som den Relative Identifikator (RID).
RID er en kode, der tilføjes i slutningen af konto-id ‘ er (SIDs), der beskriver den pågældende brugers tilladelser gruppe. Der er flere Skaffer til rådighed, men de mest almindelige er 501 for standard-gæst konto, og 500 til admin konti.
Billede: Sebastian Castro
Castro, med hjælp fra CSL administrerende DIREKTØR Pedro García, opdagede, at ved at eksperimentere med nøgler i registreringsdatabasen, som gemmer oplysninger om hvert enkelt Windows-konto, han kunne ændre SLIPPE forbundet med en specifik konto og give den en anden RID, til en anden konto gruppe.
Den teknik, der ikke giver mulighed for en hacker eksternt at inficere en computer, medmindre at computeren har været tåbeligt venstre eksponeret på Internettet uden en adgangskode.
Men i de tilfælde, hvor en hacker har fodfæste på et system –enten via malware eller ved brute-forcing en konto med en svag adgangskode– hacker kan give admin rettighedder til en kompromitteret lav-niveau-konto, og få en permanent bagdør med fuld adgang til SYSTEMET på en Windows PC.
Da nøgler i registreringsdatabasen er også starte vedvarende, eventuelle ændringer, der er foretaget på en konto ved at SLIPPE forblive permanent, eller indtil den er fast.
Angrebet er også meget pålidelig, bliver testet og fundet at være i arbejde på Windows-versioner kommer fra XP til 10 og fra Server 2003, Server 2016, selv om de endnu ældre versioner bør være sårbare, i det mindste i teorien.
“Det er ikke så let at opdage, når udnyttet, fordi dette angreb kunne implementeres ved hjælp OS ressourcer uden at udløse en indberetning til den skadelidte,” Castro fortalte ZDNet i et interview i sidste uge.
“På den anden side, tror jeg, er let at få øje på, når du laver forensics operationer, men du er nødt til at vide, hvor at se på.
“Det er muligt, at finde ud af, om en computer er blevet et offer for at SLIPPE kapring af at se ind i [Windows] – registreringsdatabasen-og der kontrolleres for uoverensstemmelser på SAM [Security Account Manager]” Castro tilføjet.
En død giveaway, er, hvis en gæst konto SID ender med en “500” SLIPPE en klar antydning gæst konto, der har administratorrettigheder, og at nogen har manipuleret med nøgler i registreringsdatabasen.
Billede: Sebastian Castro
Den CSL forsker, der har skabt og udgivet et modul til Metasploit Framework, der automatiserer angreb, for pen-test formål.
“Vi nåede ud af Microsoft, som snart blev der udviklet et modul, men vi har ikke modtaget nogen form for respons fra dem,” Castro fortalte os. “Og nej, det er ikke allerede har lappet.”
Det er uklart, hvorfor Microsoft ikke har svaret, men forskeren har været på en tur til sommer, hvor han præsenterede sine resultater på forskellige cyber-sikkerhed, konferencer, såsom Sek-T, RomHack, og DerbyCon. En video af hans seneste præsentation er indlejret nedenfor.
“Så vidt jeg ved, var der ingen internet dokumentation om denne særlige angreb, når jeg offentliggjort en blog, der beskriver det,” Castro fortalte ZDNet. “Da dette er en simpel teknik, jeg tror ikke, at det kun er min virksomhed, og jeg vidste om dette.”
Men mens nogle kloge hacks som en Castro har dokumenteret, har været kendt for at slippe igennem, og får ikke den mediedækning, de ofte ikke gå ubemærket af malware forfattere.
SLIPPE hijacking er enkel, snigende, og vedvarende –lige, hvad hackere, ligesom de fleste om Windows fejl. Men i dette tilfælde, RID kapring ser ud til at have sluppet af malware forfattere.
“Jeg er ikke bekendt med, malware, ved hjælp af denne vedholdenhed teknik,” Castro fortalte os. “Jeg spurgte nogle malware analytikere om det, men de fortalte mig, at de har ikke set denne gennemføres på malware.”
RELATEREDE DÆKNING:
Oracle lapper 301 sårbarheder, heraf 46 med et 9.8+ sikkerhedsklassifikation Efter to årtier med PHP, steder stadig afsløre følsomme oplysninger via debug modeChrome, Edge, IE, Firefox og Safari for at deaktivere TLS 1.0 og TLS 1.1 i 2020Microsoft JET sårbarhed stadig åben for angreb, på trods af de seneste patchtil Microsoft Windows nul-dags sårbarhed offentliggøres via Twitter TechRepublicDisse populære Android telefoner der kom med sårbarheder pre-installeret CNETsikkerhedshul i libssh efterlader tusindvis af servere, der er i risiko for at kapreNul-dage, fileless angreb er nu den mest farlige trusler mod virksomheden
Relaterede Emner:
Windows
Sikkerhed-TV
Data Management
CXO
Datacentre
0