Nul
Een security-onderzoeker uit Colombia heeft een manier gevonden om het verkrijgen van admin rechten en boot persistentie op Windows-Pc ‘ s dat is eenvoudig uit te voeren en het moeilijk om te stoppen –alle functies die hackers en malware auteurs zijn op zoek voor een exploitatie techniek.
Wat nog verrassender is, is dat de techniek werd voor het eerst gedetailleerde manier terug in December 2017, maar ondanks de vele voordelen en het gemak van de exploitatie, heeft het niet verkregen media-aandacht, noch heeft het al gezien werkzaam in malware campagnes.
Ontdekt door Sebastián Castro, een security-onderzoeker voor CSL, de techniek richt zich op een van de parameters van Windows gebruikersaccounts die bekend staat als de Relatieve Id (RID).
De RID is een code die wordt toegevoegd aan het einde van de beveiliging van uw account-id ‘s (Sid’ s) die beschrijft dat de gebruiker de machtigingen van de groep. Er zijn verschillende Rid ‘ s beschikbaar, maar de meest voorkomende zijn 501 voor de standaard account gast, en 500 voor de admin-accounts.
Afbeelding: Sebastian Castro
Castro, met de hulp van CSL CEO Pedro García, ontdekt dat door te knutselen met registersleutels die informatie opslaan over elke Windows-account, zou hij het wijzigen van de RID geassocieerd met een specifieke account en de verlening van een ander ONTDOEN, voor een andere account van de groep.
De techniek staat niet toe dat een hacker op afstand infecteren van een computer, tenzij dat de computer is dwaas links bloot op het Internet zonder een wachtwoord.
Maar in gevallen waar een hacker heeft een voet op een systeem –via malware of door brute-forcing een account met een zwak wachtwoord– de hacker kan geven admin rechten om een gecompromitteerde laag-niveau-account, en krijgen een permanente achterdeur met volledige toegang tot het SYSTEEM op een Windows-PC.
Sinds registersleutels zijn ook boot persistent, eventuele wijzigingen die zijn aangebracht aan voor een account ONTDOEN van blijvende aard, of totdat het opgelost is.
De aanval is ook zeer betrouwbaar, getest en bleek te werken op het Windows-versies, gaande van XP tot en met 10 en van Server 2003 naar Server 2016, hoewel nog oudere versies zouden kwetsbaar zijn, althans in theorie.
“Het is niet zo gemakkelijk om te detecteren wanneer benut, omdat deze aanval kon worden ingezet door het gebruik van OS-middelen zonder dat enige waarschuwing van het slachtoffer,” Castro zei tegen ZDNet in een interview vorige week.
“Aan de andere kant, ik denk dat is makkelijk te herkennen bij het doen van forensisch onderzoek operaties, maar je moet weten waar te kijken.
“Het is mogelijk om uit te vinden als een computer is een slachtoffer van de RID kapen door het kijken in het [Windows] het register en het controleren op inconsistenties op de SAM [Security Account Manager],” Castro toegevoegd.
Een dode giveaway is als een gast-account SID eindigt met een “500” ONTDOEN, een duidelijke hint voor het gast-account admin rechten, en dat iemand heeft geknoeid met de register-sleutels.
Afbeelding: Sebastian Castro
De CSL onderzoeker heeft gecreëerd en vrijgegeven een module voor het Metasploit Framework voor het automatiseren van de aanval, voor pen-test doeleinden.
“We bereikt Microsoft zodra de module is ontwikkeld, maar we kregen geen reactie van hen,” Castro zei tegen ons. “En nee, het is niet al gepatcht.”
Het is onduidelijk waarom Microsoft heeft nog niet gereageerd, maar de onderzoeker is op een tour van deze zomer, presenteert zijn bevindingen op de verschillende cyber-security conferenties, zoals de Sec-T, RomHack, en DerbyCon. Een video van zijn meest recente presentatie is ingebed hieronder.
“Voor zover ik weet, was er geen internet documentatie over deze specifieke aanval als die ik heb gepubliceerd op het blog te beschrijven,” Castro zei tegen ZDNet. “Want dit is een eenvoudige techniek, ik denk niet dat dat alleen mijn bedrijf en ik wist dit.”
Maar terwijl een aantal slimme hacks zoals Castro heeft gedocumenteerd zijn bekend om te glippen en krijgen geen aandacht in de media, vaak weten ze niet onopgemerkt door de auteurs van malware.
RID-kaping is eenvoudig, kwaadaardige en aanhoudende –net wat hackers zoals de meeste over Windows gebreken. Maar in dit geval, het RID kaping lijkt te hebben gleed door auteurs van malware.
“Ik ben me niet bewust van mogelijke gevaren met behulp van deze persistentie techniek,” Castro zei tegen ons. “Ik vroeg wat malware-analisten over, maar ze vertelde me dat ze nog niet gezien dit geïmplementeerd op malware.”
VERWANTE DEKKING:
Oracle patches 301 kwetsbaarheden, waarvan 46 met een 9.8+ prioriteitsniveau Na twee decennia van PHP, sites nog steeds gevoelige informatie via de debug modeChrome Rand, IE, Firefox en Safari uit te schakelen TLS 1.0 en TLS 1.1 in 2020Microsoft JET kwetsbaarheid nog steeds open voor aanvallen, ondanks de recente patch voorMicrosoft Windows zero-day kwetsbaarheid bekendgemaakt via Twitter TechRepublicDeze populaire Android-telefoons kwam met kwetsbaarheden pre-geïnstalleerd CNETlek in libssh bladeren duizenden servers op risico van de overname vanZero-days, fileless aanvallen zijn nu de meest gevaarlijke bedreigingen voor de onderneming
Verwante Onderwerpen:
Windows
Beveiliging TV
Data Management
CXO
Datacenters
0