Французский ИБ-исследователь Клемент Лабро (Clément Labro) работал над созданием защитного инструмента, когда обнаружил, что Windows 7 и Windows Server 2008 R2 уязвимы перед багом локального повышения привилегий.
Эксперт пишет, что уязвимость кроется в двух неправильно настроенных ключах реестра для RPC Endpoint Mapper и DNSCache, которые являются частью всех установок Windows:
- HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper
- HKLM\SYSTEM\CurrentControlSet\Services\Dnscache
Так, уже проникший в систему злоумышленник может изменить эти ключи таким образом, чтобы активировать подключ, который используется для работы Windows Performance Monitoring. Данный механизм применяется для мониторинга производительности приложений, а также позволяет разработчикам загружать собственные файлы DLL для отслеживания их производительности с помощью специальных инструментов. Хотя в последних версиях Windows DLL обычно загружаются с ограниченными привилегиями, Лабро пишет, что в Windows 7 и Windows Server 2008 по-прежнему можно загружать кастомные DLL, которые в итоге будут выполнены с привилегиями уровня SYSTEM.
Большинство исследователей сообщают Microsoft о серьезных проблемах с безопасностью в частном порядке, сразу после их обнаружения, однако в случае Лабро для этого было уже слишком поздно. Дело в том, что исследователь нашел проблему уже после того, как выпустил обновление для своего инструмента PrivescCheck, который используется для выявления неправильных настроек безопасности Windows (ими могут злоупотреблять вредоносные программы для повышения привилегий).
Таким образом, в обновление PrivescCheck был добавлен новый набор проверок для методов повышения привилегий. Лабро пишет, что тогда он не понимал, что эти проверки обнаруживают новый, непропачтенный способ повышения привилегий. Лишь через несколько дней после релиза он начал анализировать странные предупреждения, появлявшиеся в более старых системах, таких как Windows 7. К сожалению, на тот момент было поздно сообщать о проблеме в частном порядке, поэтому исследователь просто раскрыл детали найденной уязвимости в своем блоге.
Так как поддержка Windows 7 и Windows Server 2008 R2 уже давно прекращена, Microsoft практически прекратила выпуск обновлений безопасности для этих ОС. Некоторые обновления еще доступны для пользователей Windows 7 через платную программу ESU (Extended Support Updates), но исправлений для найденной Лабро проблемы нет и там.
Пока для пользователей старых ОС доступен только неофициальный микропатч от компании Acros Security, разрабатывающей 0pach. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.
