Опасная уязвимость Windows UAC позволяет повысить права в системе

Опасная уязвимость Windows UAC позволяет повысить права в системе

Опасная уязвимость Windows UAC позволяет повысить права в системе

Исследователи в области кибербезопасности раскрыли детали крайне опасной уязвимости в компоненте Windows UAC (User Account Control, контроль учётных записей пользователей). В случае успешной эксплуатации атакующий может повысить свои права в системе, установить программы, а также просматривать, модифицировать и удалять данные.

Для тех, кто не знает: UAC представляет собой защитную функцию Windows, оберегающую операционную систему от несанкционированных изменений. Таким образом, любая попытка установки программы или драйверов вызовет диалоговое окно, в котором пользователь должен подтвердить вносимые в ОС изменения.

Однако злоумышленник, взаимодействуя с пользовательским интерфейсом, может использовать баг для запуска браузера с самыми высокими правами в системе. Другими словами, атакующий сможет загрузить любой код или совершить другие злонамеренные действия.

«Брешь позволяет локальным злоумышленникам повысить свои права в уязвимой системе Windows. Чтобы иметь возможность использовать баг, атакующие сначала должны получить доступ к десктопу в качестве пользователя с обычными правами», — пишут специалисты Zero Day Initiative (ZDI), проанализировавшие проблему безопасности.

Сам процесс эксплуатации должен выглядеть приблизительно так: киберпреступник первым делом загружает исполняемый файл, подписанный Microsoft, с собственного вредоносного сайта. Далее следует попытка запуска файла от имени администратора, что, конечно же, вызовет диалог UAC.

После этого атакующий может нажать кнопку «Показать детали» в окне UAC и увидеть специальный идентификатор объекта (OID).

«Задача OID не до конца понятна, так как Microsoft нигде толком не описывает назначение этого идентификатора. Судя по всему, диалог парсит значение OID. Если там обнаруживаются валидные и корректно сформированные данные, система подставит их в поле "Выпущен кем" в виде гиперссылки», — объясняют исследователи.

На деле это значит, что злоумышленник сможет кликнуть гиперссылку и запустить браузер с правами NT AUTHORITY\SYSTEM. Затем открывается возможность для установки вредоносных программ, выполнения кода и прочих действий.

Представители ZDI продемонстрировали наличие проблемы на опубликованном видео, которое мы приводим ниже:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru