5

Zabezpieczenia w Windows 10 złamane. Chciałoby się powiedzieć: „znowu”

Wygląda na to, że miesiąc bez poważnych luk bezpieczeństwa w Windows to właściwie miesiąc stracony. Niedawno pisaliśmy dla Was o kuriozalnym zachowaniu eksploratora Windows, który po wypakowywaniu plików ZIP automatycznie nadpisywał powtarzające się elementy. Teraz natomiast mamy do czynienia z błędem, który pozwala na nieautoryzowane podniesienie uprawnień.

Znalazcą jest SandboxEscaper, który wręcz zawodowo zajmuje się wyszukiwaniem luk w popularnym oprogramowaniu i publikowaniem informacji o swoich odkryciach. Co ciekawe, w sierpniu donosił o bardzo podobnym błędzie, który na szczęście został szybko załatany. Najnowszy problem dotyczy mechanizmu zarządzania uprawnieniami usług w systemie Windows – te najczęściej pracują w trybie podwyższonych uprawnień. Jednak w momencie, gdy wykonują niektóre akcje, pytają użytkownika o autoryzację (tym natomiast steruje funkcja „impersonation”). Wtedy usługi pracują na podstawie uprawnień, które posiada konkretny użytkownik. Po wszystkim wracają do swojego normalnego wzorca działania.

Zarówno ten błąd, jak i wcześniejszy ujawniony przez SandboxEscapera polegają na nieprawidłowym użyciu funkcji „impersonation”. Można zmusić usługę do tego, aby powróciła do swoich uprawnień zbyt szybko, wykonując konkretną akcję w stanie podniesionych uprawnień. I co więcej – można tym samym doprowadzić m. in. do nieautoryzowanego usuwania niektórych plików. W normalnych warunkach byłoby to kompletnie niemożliwe – ale korzystając z tej luki można doprowadzić do takiej sytuacji.

Maszyny z procesorami jednordzeniowymi są… bezpieczne

Wszystko zasadza się na tym, by uruchomić dwie akcje w tym samym czasie – wtedy „proces impersonacji” zostanie zakończony przedwcześnie. W maszynach jednordzeniowych będzie to trudne do uzyskania, jednak w przypadku komputerów z procesorem wielordzeniowym można eksploatować tę lukę, bowiem możliwe będzie uruchomienie dwóch czynności jednocześnie. Proof of concept eksperta dotyczył usunięcia windowsowskiego sterownika PCI – udało mu się to właśnie za pomocą znalezionej przez siebie luki.

Podatność występuje nie tylko na systemie Windows 10. Potencjalnie narażone na tego typu atak są również Windows Server 2016 oraz Windows Server 2019. Microsoft już pracuje nad luką – jest to o tyle ważna informacja, że… poprzedni błąd został wykorzystany przez cyberprzestępców w jednym z malware. Najnowsze odkrycie będzie trudniejsze do zaimplementowania w jakimkolwiek złośliwym oprogramowaniu – możliwość nadpisania informacji jest dużo przydatniejsza niż samo usuwanie elementów.

W najbliższym czasie powinna pojawić się łatka naprawiająca ten błąd. SandboxEscaper dodał natomiast, że w dalszym ciągu będzie poszukiwał podobnych metod omijania zabezpieczeń w systemie Windows – nie tylko w jego najnowszej wersji. Wydaje się, że oprogramowanie Microsoftu jest bardzo atrakcyjne pod kątem wyszukiwania w nim błędów pozwalających na zaatakowanie maszyny. Na tego typu wiadomości czekają także cyberprzestępcy, którzy bardzo szybko – nawet często bez wszystkich informacji o błędzie są w stanie konstruować zagrożenia dedykowane opisywanym lukom.