Microsoft устранила брешь PSExec в Windows, позволяющую повысить права

Microsoft устранила уязвимость в утилите PsExec, с помощью которой потенциальный злоумышленник мог повысить свои права на устройствах под управлением Windows. Напомним, что о бреши стало известно в декабре 2020 года благодаря исследователю из компании Tenable Дэвиду Уэллсу.

Утилита PsExec входит в состав набора Sysinternals, который изначально разрабатывал знаменитый Марк Русинович. PsExec позволяет системным администраторам осуществлять определённые действия на удалённых компьютерах.

Стоит отметить, что киберпреступники также иногда используют PsExec на завершающих этапах атаки, поскольку через неё можно выполнять команды на множестве устройств одновременно. Такие функциональные возможности подходят, например, для запуска шифровальщика.

Уязвимость в PsExec, которую в декабре нашёл Уэллс, позволяла повысить права локального пользователя до уровня SYSTEM.

«Мне удалось подтвердить наличие бреши в версиях операционной системы с Windows XP по Windows 10. Уязвимость затрагивает релизы PsExec с v1.72 (выпущена в 2006 году) по v2.2 (последняя на момент написания)», — писал специалист Tenable.

Поскольку информация о дыре просочилась в общий доступ, Microsoft пришлось выпустить патч с версией 2.30. Однако Уэллс подчеркнул, что с помощью небольших изменений его PoC-код всё ещё может повысить права в системе.

После этого вышла версия PsExec v2.33, в которой разработчики уже окончательно избавились от проблемы безопасности.