Исследователи в области кибербезопасности раскрыли детали крайне опасной уязвимости в компоненте Windows UAC (User Account Control, контроль учётных записей пользователей). В случае успешной эксплуатации атакующий может повысить свои права в системе, установить программы, а также просматривать, модифицировать и удалять данные.
Для тех, кто не знает: UAC представляет собой защитную функцию Windows, оберегающую операционную систему от несанкционированных изменений. Таким образом, любая попытка установки программы или драйверов вызовет диалоговое окно, в котором пользователь должен подтвердить вносимые в ОС изменения.
Однако злоумышленник, взаимодействуя с пользовательским интерфейсом, может использовать баг для запуска браузера с самыми высокими правами в системе. Другими словами, атакующий сможет загрузить любой код или совершить другие злонамеренные действия.
«Брешь позволяет локальным злоумышленникам повысить свои права в уязвимой системе Windows. Чтобы иметь возможность использовать баг, атакующие сначала должны получить доступ к десктопу в качестве пользователя с обычными правами», — пишут специалисты Zero Day Initiative (ZDI), проанализировавшие проблему безопасности.
Сам процесс эксплуатации должен выглядеть приблизительно так: киберпреступник первым делом загружает исполняемый файл, подписанный Microsoft, с собственного вредоносного сайта. Далее следует попытка запуска файла от имени администратора, что, конечно же, вызовет диалог UAC.
После этого атакующий может нажать кнопку «Показать детали» в окне UAC и увидеть специальный идентификатор объекта (OID).
«Задача OID не до конца понятна, так как Microsoft нигде толком не описывает назначение этого идентификатора. Судя по всему, диалог парсит значение OID. Если там обнаруживаются валидные и корректно сформированные данные, система подставит их в поле "Выпущен кем" в виде гиперссылки», — объясняют исследователи.
На деле это значит, что злоумышленник сможет кликнуть гиперссылку и запустить браузер с правами NT AUTHORITY\SYSTEM. Затем открывается возможность для установки вредоносных программ, выполнения кода и прочих действий.
Представители ZDI продемонстрировали наличие проблемы на опубликованном видео, которое мы приводим ниже:
Microsoft решила окончательно попрощаться с VBScript — скриптовым языком, который компания создала ещё в 1996 году. Формально его развитие свернули в 2008-м, но поддержка в Windows оставалась, и многие организации продолжали использовать его для автоматизации.
Теперь же корпорация объявила: к 2027 году VBScript будет полностью удалён из Windows 11.
Для большинства пользователей это событие пройдёт незаметно. Но в корпоративной среде могут возникнуть сложности: многие решения до сих пор завязаны на VBA-макросы, которые подключают внешние *.vbs-файлы или библиотеки с функциями VBScript. После «пенсии» языка такие сценарии перестанут работать.
Чтобы не обрушить инфраструктуру в один момент, Microsoft пошла по пути постепенного отказа. Сейчас VBScript уже отключён по умолчанию, но при желании его можно установить вручную через системные настройки.
Однако после 2027 года опция исчезнет полностью, и вернуть поддержку будет невозможно.
Иными словами, компании, которые ещё зависят от VBScript, получили несколько лет на то, чтобы переписать свои решения и перейти на другие средства автоматизации.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
