Zero
Un ricercatore di sicurezza dalla Colombia, che ha trovato un modo per guadagnare i diritti di amministratore e di avvio di persistenza su Pc Windows che è semplice da eseguire e difficile da interrompere –tutte le caratteristiche che gli hacker e gli autori di malware cercano da uno sfruttamento tecnica.
Cosa c’è di più sorprendente, è che la tecnica è stata dettagliata nel dicembre 2017, ma nonostante i suoi numerosi vantaggi e la facilità di sfruttamento, non ha ricevuto una copertura mediatica né ha visto impiegati nelle campagne di malware.
Scoperto da Sebastian Castro, un ricercatore di sicurezza per CSL, la tecnica mira uno dei parametri degli account utente di Windows conosciuto come il RID).
Il RID è un codice aggiunte, in fine, conto identificatori di protezione (Sid) che descrive l’utente le autorizzazioni di gruppo. Ci sono diversi Rid disponibile, ma i più comuni sono il 501 per la standard account guest, e 500 per l’account admin.
Immagine: Sebastian Castro
Castro, con l’aiuto del CSL CEO di Pedro García, ha scoperto che da armeggiare con le chiavi di registro che memorizza informazioni su ogni account di Windows, si potrebbe modificare il RID associato a un account specifico e il rilascio di una diversa RID, per un altro account di gruppo.
La tecnica non consentire a un hacker remoto per infettare un computer, a meno che il computer è stato stupidamente lasciato esposto su Internet senza una password.
Ma nei casi in cui un hacker è un punto d’appoggio su un sistema –tramite malware o da un brute-forzando un account con una password debole– l’hacker è in grado di fornire le autorizzazioni di amministratore per un compromesso di basso livello di account, e di ottenere una backdoor permanente con accesso completo al SISTEMA su un PC Windows.
Dal momento che le chiavi di registro sono anche l’avvio persistente, eventuali modifiche apportate a un account RID è permanente, o fino a quando fisso.
L’attacco è anche molto affidabile, testato e trovato essere al lavoro su versioni di Windows, passando da XP a 10 e da Server 2003, Server 2016, anche se le versioni precedenti dovrebbe essere vulnerabili, almeno in teoria.
“Non è così facile da individuare quando sfruttato, perché questo attacco potrebbe essere distribuiti utilizzando le risorse del sistema operativo senza far scattare alcun allarme per la vittima,” Castro ha detto ZDNet in un’intervista la scorsa settimana.
“D’altra parte, penso che è facile da individuare quando si fa l’analisi forense di operazioni, ma è necessario sapere dove guardare.
“È possibile scoprire se un computer è stato vittima di SBARAZZARSI di dirottamento guardando dentro il [Windows] del registro di sistema e il controllo delle incongruenze su SAM [Gestione Account di Protezione],” Castro aggiunto.
Un giveaway morto è se un account guest SID si conclude con una “500” RID, un chiaro indizio che l’account guest ha i diritti di amministratore e che qualcuno ha manomesso le chiavi di registro.
Immagine: Sebastian Castro
Il CSL ricercatore ha creato e rilasciato un modulo per il Metasploit Framework che consente di automatizzare l’attacco, per pen-testing.
“Abbiamo raggiunto Microsoft non appena il modulo è stato sviluppato, ma non abbiamo ricevuto alcun tipo di risposta da loro,” Castro ci ha detto. “E no, non è già patchato.”
Non è chiaro il motivo per cui Microsoft non ha risposto, ma il ricercatore è stato in un tour di questa estate, presentando le sue scoperte in vari cyber-conferenze di sicurezza, come la Sec-T, RomHack, e DerbyCon. Un video della sua ultima presentazione è incorporato qui sotto.
“Per quanto ne so io, non c’era internet, documentazione su questo particolare tipo di attacco, quando ho pubblicato il blog per descrivere”, Castro ha detto di ZDNet. “Dal momento che questa è una tecnica semplice, non credo che solo la mia azienda e ho conosciuto su questo.”
Ma mentre alcune intelligenti hack come quello di Castro ha documentato sono stati conosciuti per scivolare attraverso e ottenere alcuna copertura mediatica, spesso non passare inosservato dagli autori di malware.
RID dirottamento è semplice, furtivi e persistente-solo ciò che gli hacker come la maggior parte su Windows difetti. Ma in questo caso, eliminare il dirottamento sembra scivolato dagli autori di malware.
“Io non sono a conoscenza di qualsiasi malware che utilizza questo persistenza tecnica” Castro ci ha detto. “Ho chiesto ad alcuni analisti di malware su di esso, ma mi hanno detto che non hanno visto questa implementato su malware”.
RELATIVI COPERTURA:
Oracle patch 301 vulnerabilità, di cui 46 con 9,8+ di gravità , Dopo due decenni di PHP, siti ancora esporre dati sensibili tramite la modalità di debugChrome, Edge, IE, Firefox e Safari, per disattivare TLS TLS 1.0 e 1.1 nel 2020Microsoft JET vulnerabilità ancora aperti agli attacchi, nonostante le recenti patchdi Microsoft Windows vulnerabilità zero-day diffusi attraverso Twitter TechRepublicQuesti popolari telefoni Android è venuto con vulnerabilità pre-installato CNETfalla di Sicurezza in libssh foglie di migliaia di server a rischio di dirottamentoZero giorni, fileless attacchi sono ora le minacce più pericolose per l’impresa
Argomenti Correlati:
Windows
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0