В 2015 году на конференции Black Hat выступил сотрудник компании Synopsys Иан Хакен (Ian Haken). Он рассказал об атаке названной Evil Maid («злая горничная»), при помощи которой можно обойти локальную аутентификацию Windows и даже шифрование BitLocker. Для описанного Хакеном метода нужно было иметь физический доступ к компьютеру жертвы. На конференции Black Hat 2016 представили логичное продолжение этой атаки – проблему Malicious Butler («злой дворецкий»), которая позволяет скомпрометировать систему удаленно, то есть физический доступ уже не нужен.

Оригинальную уязвимость, обнаруженную Хакеном (CVE-2015-6095), устранили еще в ноябре 2015 года, а в феврале 2016 года был представлен еще один патч для данной проблемы (CVE-2016-0049), когда выяснилось, что первого патча было недостаточно.

На Black Hat 2016 двое исследователей из компании Microsoft в очередной раз напомнили всем о важности обновлений и рассказали, как атаку Evil Maid можно превратить в более опасную атаку Malicious Butler.

В 2015 году Хакен объяснил, что обойти защиту Windows можно, создав новый контроллер домена, присвоив ему то же имя, что у компьютера жертвы. Узнать имя компьютера довольно легко, к примеру, просто посмотрев на экран блокировки. Затем атакующему нужно создать пользовательский аккаунт, использовав юзернейм жертвы, который опять же можно узнать через экран блокировки. При этом злоумышленник должен установить для этого аккаунта пароль с истекшим сроком использования.

Следующая стадия атаки подразумевает, что злоумышленник должен получить физический доступ к компьютеру жертвы и попытаться войти в систему, использовав фальшивый контроллер домена и свежесозданный аккаунт. Так как срок действия пароля истек, атакующему будет нужно задать новый пароль, который в итоге будет сохранен в кеше локальной машины. Как только дело сделано, злоумышленник отключается от фальшивого контроллера домена, и входит в систему, использовав новый пароль. Доступ будет разрешен, так как устройство не подключено к контроллеру домена вообще, а использованный пароль машина сравнит с тем, что был заранее помещен в кеш.

remote-evil-butler-attack-threatens-windows-computers-507038-2

Атака Malicious Butler во многом похожа на описанный способ, но в данном случае злоумышленник сначала компрометирует одну из машин в сети организации, создает фальшивый контроллер домена, а затем использует утилиту типа nmap, чтобы обнаружить другие машины сети. После атакующему нужно найти компьютеры с открытыми RDP-портом и перенаправить их трафик через подставной контроллер домена. RDP-доступ используется против уязвимых машин для осуществления оригинальной атаки Evil Maid.

Если машина жертвы переподключится к настоящему контроллеру домена, атака перестанет работать, так как кеш более не будет использоваться для проверки пароля. Чтобы сохранить доступ к системе даже в таком случае, исследователи предлагают извлечь настоящий пароль из памяти компьютера, к примеру, при помощи утилиты Mimikatz (хотя, имея доступ, машину также можно просто заразить какой-либо малварью или оставить бекдор).

Исследователи утверждают, что данная атака может оказаться очень привлекательной для серьезных «правительственных» хакеров и кибершпионских группировок, так как после успешной реализации Malicious Butler в системе не остается почти никаких следов. Хотя оригинальная уязвимость Evil Maid была окончательно устранена в феврале 2016 года, исследователи решили все же продемонстрировать свой вектор эксплуатации бага, чтобы компании и простые пользователи помнили, как важно вовремя обновлять ПО.

Видеодемонстрацию атаки можно увидеть ниже. Также исследователи опубликовали подробный доклад, с которым можно ознакомиться здесь (PDF).



Оставить мнение