Angara Professional Assistance | Уязвимость в Windows позволяет завладеть правами администратора

Уязвимость в Windows позволяет завладеть правами администратора

Исследователь в области информационной безопасности Джонас Лик обнаружил уязвимость в операционной системе Windows, связанную с потенциальной возможностью повышения привилегий. 

Оказалось, что даже непривилегированные пользователи, обладающие минимумом прав, могут получить доступ к файлам реестра ОС, содержащим информацию о конфигурации системы, включая конфиденциальные данные обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows. Такая информация в обычных условиях не должна быть доступна рядовым пользователям без расширенных прав. 

Речь идёт о каталоге C:\Windows\System32\сonfig, содержащем, среди прочих, файлы SYSTEM, SECURITY, SAM, SOFTWARE – соответствующие одноименным ключам в ветке реестра HKEY_LOCAL_MACHINE(HKLM). Краткое описание их содержимого представлено в таблице ниже.

Подраздел ключа реестра HKLM

Описание содержимого

SAM

Информация о базах данных Диспетчера учётных записей безопасности (Security Accounts Manager): учетные записи пользователей, в том числе администраторов, информация о группах, криптографические хэши паролей пользователей и др. (для доменов)

SECURITY

Политика безопасности текущего пользователя домена

SOFTWARE

Данные о конфигурации стороннего и стандартного ПО, используемого на устройстве, для всех пользователей, в том числе детали пользовательского интерфейса ОС, информация об используемых расширениях файлов и др.

SYSTEM

Настройки аппаратных профилей компьютера, служб и драйверов, используемых в ОС, и др.


Исследователь обнаружил, что группа BUILTIN\Users, в которую входит каждый пользователь ОС, с некоторых пор была наделена правами доступа к файлам из системного каталога C:\Windows\System32\сonfig в ОС Windows 10, а конкретно с момента выпуска обновления v1809 в 2018 году. Проверить, уязвима ли ваша система, можно с помощью команды icacls %windir%\system32\config\sam. Уязвимая система отобразит в выводе информацию о наличии доступа членов группы BUILTIN\Users:

Рисунок 1. Вывод результата команды проверки уязвимости ОС.

Уязвимость упоминается в различных источниках с наименованиями SeriousSAM и HiveNightmare.

Любопытно, что доступ к файлам возможно осуществить только через так называемую теневую копию системы. Проверить, существуют ли на устройстве теневые копии, можно с помощью команды vssadmin list shadows.

Отказ при непосредственном доступе к файлам реестра на системном диске происходит по причине того, что они постоянно используются операционной системой и не могут быть в то же время доступны любым другим программам/действиям со стороны пользователя. А применение теневой копии тома позволяет злоумышленнику, например, получить из базы данных SAM (Security Account Manager – Диспетчер учётных записей безопасности) хэшированные пароли пользователей, в том числе администраторов, использовать эксплойты для захвата привилегированной учетной записи и, как следствие, расширить права доступа в системе.

Создатель знаменитой программы Mimikatz представил пример эксплуатации этой уязвимости с применением данных таблицы SAM ( ссылка на видео).

«Официальная информация от разработчика включает рекомендации по корректировке прав доступа к файлам реестра и удалению всех ранее созданных теневых копий. Вендор не опубликовал способы детектирования индикаторов компрометации, однако можно использовать пассивные признаки для выявления попыток закрепления злоумышленника, например, несанкционированное использование хакерских или потенциально опасных утилит на хосте, таких как Mimikatz PsExec и других, создание пользователей и добавление их в привилегированные группы, выявление подозрительной сетевой активности и т.д. Своевременное обнаружение подобной активности в своей инфраструктуре позволит службе безопасности компаний оперативно среагировать и не дать возможности киберпреступнику причинить компании и ее работникам непоправимый ущерб: материальный, репутационный или любой другой», – напоминает руководитель центра мониторинга Angara Professional Assistance Максим Павлунин.

Команда SOC Центра киберустойчивости Angara Cyber Resilience Center (ACRC) предлагает быстрое выявление подозрительной активности и реагирование на инциденты ИБ, тем самым минимизируя риски убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Angara Professional Assistance предоставляет услуги SOC на базе собственной Платформы, включенной в реестр Российского ПО, что гарантирует независимость от политики вендоров и изменений курсов валют.

За подробностями об услуге можно обратиться к разделу «Центр мониторинга киберустойчивости информационной безопасности ACRC» нашего сайта. Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.