Французский ИБ-исследователь Клемент Лабро (Clément Labro) работал над созданием защитного инструмента, когда обнаружил, что Windows 7 и Windows Server 2008 R2 уязвимы перед багом локального повышения привилегий.

Эксперт пишет, что уязвимость кроется в двух неправильно настроенных ключах реестра для RPC Endpoint Mapper и DNSCache, которые являются частью всех установок Windows:

  • HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
  • HKLM\SYSTEM\CurrentControlSet\Services\Dnscache

Так, уже проникший в систему злоумышленник может изменить эти ключи таким образом, чтобы активировать подключ, который используется для работы Windows Performance Monitoring. Данный механизм применяется для мониторинга производительности приложений, а также позволяет разработчикам загружать собственные файлы DLL для отслеживания их производительности с помощью специальных инструментов. Хотя в последних версиях Windows  DLL обычно загружаются с ограниченными привилегиями, Лабро пишет, что в Windows 7 и Windows Server 2008 по-прежнему можно загружать кастомные DLL, которые в итоге будут выполнены с привилегиями уровня SYSTEM.

Большинство исследователей сообщают Microsoft о серьезных проблемах с безопасностью в частном порядке, сразу после их обнаружения, однако в случае Лабро для этого было уже слишком поздно. Дело в том, что исследователь нашел проблему уже после того, как выпустил обновление для своего инструмента PrivescCheck, который используется для выявления неправильных настроек безопасности Windows (ими могут злоупотреблять вредоносные программы для повышения привилегий).

Таким образом, в обновление PrivescCheck был добавлен новый набор проверок для методов повышения привилегий. Лабро пишет, что тогда он не понимал, что эти проверки обнаруживают новый, непропачтенный способ повышения привилегий. Лишь через несколько дней после релиза он начал анализировать странные предупреждения, появлявшиеся в более старых системах, таких как Windows 7. К сожалению, на тот момент было поздно сообщать о проблеме в частном порядке, поэтому исследователь просто раскрыл детали найденной уязвимости в своем блоге.

Так как поддержка Windows 7 и Windows Server 2008 R2 уже давно прекращена, Microsoft практически прекратила выпуск обновлений безопасности для этих ОС. Некоторые обновления еще доступны для пользователей Windows 7 через платную программу ESU (Extended Support Updates), но исправлений для найденной Лабро проблемы нет и там.

Пока для пользователей старых ОС доступен только неофициальный микропатч от компании Acros Security, разрабатывающей 0pach. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.

4 комментария

  1. Аватар

    0d8bc7

    27.11.2020 в 06:53

    Спасибо 🙂
    *поставил на своё решето ещё одно силовое поле*

  2. Аватар

    miradmin

    27.11.2020 в 09:34

    «…уже проникший в систему злоумышленник может…»
    Дальше можно не читать…

    • Аватар

      0d8bc7

      27.11.2020 в 11:36

      С одной стороны, верно.
      А с другой — браузеры же нынче дырявые, да и другое ПО тоже ?

    • Аватар

      Andrey_Vladimirovich

      30.11.2020 в 02:44

      miradmin, странный вы человек. Во первых, если какая-то зараза проникнет чрез любую вашу легальную программу, то она сможет получить любые права. Во вторых, бывают ситуации, когда пользуется компьютером один человек, а администрирует его другой.

Оставить мнение