Ένας ερευνητής ασφάλειας από την Κολομβία ανακάλυψε ένα τρόπο (0Day) να έχει δικαιώματα διαχειριστή και boot persistence σε κάθε υπολογιστή που χρησιμοποιεί Windows.
Το εκπληκτικό είναι ότι η τεχνική δημοσιεύτηκε δημόσια για πρώτη φορά τον Δεκέμβριο του 2017, αλλά δεν αναφέρθηκε ποτέ από τα media, παρά την σοβαρότητά της.
Επίσης το συγκεκριμένο 0Day δεν φαίνεται να έχει ληφθεί υπόψιν από τους προγραμματιστές των κακόβουλων λογισμικών.
Το 0Day ανακαλύφθηκε από τον Sebastián Castro, ερευνητή ασφάλειας της CSL. Το exploit στοχεύει σε μία από τις παραμέτρους των λογαριασμών χρηστών των Windows που είναι γνωστοί σαν Relative Identifier (RID).
Χάκερ παραβιάζουν Webcam χωρίς να φαίνονται ενεργοποιημένες
Επαναστατική Τεχνική Ρομποτικής Μεταμόσχευσης Πνευμόνων
Κίνα Tianwen 3 mission: Θα φέρει δείγμα από τον Άρη το 2031
Το RID είναι ένας κώδικας που προστίθεται στο τέλος των αναγνωριστικών ασφαλείας του κάθε λογαριασμού (SID από το security identifier) και περιγράφει την ομάδα δικαιωμάτων του χρήστη. Υπάρχουν διαθέσιμα πολλά RID, αλλά τα πιο συνηθισμένα είναι τα 501 για τον τυπικό λογαριασμό επισκεπτών και το 500 για τους λογαριασμούς των διαχειριστών.
Ο Castro, με τη βοήθεια του CEO της CSL, Pedro García, ανακάλυψε ότι τα κλειδιά μητρώου αποθηκεύουν πληροφορίες για κάθε λογαριασμό των Windows. Από εκεί μπορούσε να τροποποιήσει το RID που σχετίζεται με ένα συγκεκριμένο λογαριασμό και να του παραχωρήσει ένα διαφορετικό RID από την ομάδα διαχειριστών.
Η τεχνική δεν επιτρέπει σε κάποιον hacker να μολύνει εξ αποστάσεως έναν υπολογιστή, εκτός κι αν είναι εκτεθειμένος στο Internet χωρίς κωδικό πρόσβασης.
Φυσικά θα πρέπει να αναφέρουμε ότι υπάρχουν και περιπτώσεις που ένας hacker μπορεί να έχει πρόσβαση σε κάποιο σύστημα με κάποιο κακόβουλο λογισμικό. Σε περίπτωση που αποκτήσει πρόσβαση με δικαιώματα απλού χρήστη, είναι πολύ απλό πια να γίνει διαχειριστής με πλήρη πρόσβαση στο σύστημα των Windows.
Να αναφέρουμε επίσης ότι τα registry keys λειτουργούν άμεσα από την εκκίνηση (boot persistence). Έτσι όλες οι τροποποιήσεις που πραγματοποιούνται στα RID των λογαριασμών παραμένουν μόνιμες μέχρι να διορθωθούν.
Η επίθεση είναι πολύ αξιόπιστη. Δοκιμάστηκε και βρέθηκε ότι λειτουργεί άψογα σε όλες τις εκδόσεις των Windows από τα XP μέχρι τα Windows 10 και από τον Server 2003 μέχρι τον Server 2016. Θεωρητικά και οι παλαιότερες εκδόσεις θα πρέπει να είναι ευάλωτες.
“Δεν είναι και τόσο εύκολο να εντοπιστεί το exploit, γιατί αυτή η επίθεση θα μπορούσε να αναπτυχθεί χρησιμοποιώντας τους πόρους του OS χωρίς να προκαλέσει καμία ειδοποίηση στο θύμα” αναφέρει ο Castro.
Μπορούμε να ανακαλύψουμε την επίθεση στο RID εξετάζοντας το μητρώο [Windows] και ελέγχοντας για ασυνέπειες στο SAM (Security Account Manager).
Αν το SID στα guest account’s έχει RID 500, ο λογαριασμός guest έχει δικαιώματα διαχειριστή.
[su_note note_color=”#ebebeb” text_color=”#271e45″ radius=”2″]Να αναφέρουμε επίσης (χωρίς να προτείνουμε) ότι το συγκεκριμένο exploit μπορεί να σας βοηθήσει να αποκτήσετε λογαριασμό διαχειριστή σε συστήματα που σας έχουν βάλει σαν χρήστες. [/su_note]
__________________