Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Windows 10 zero-day zraniteľnosť od SandboxEscapera

24.05.2019
Výskumník s pseudonymom SandboxEscaper zverejnil ďalší ukážkový kód na zneužitie zero-day zraniteľnosti v systéme Windows 10. Zraniteľnosť sa nachádza v nástroji Task Scheduler a dovoľuje útočníkom zvýšiť práva až na úroveň systému. Následne je možné vykonávať ľubovoľný kód s právami systému. Na zraniteľnosť zatiaľ neexistuje opravná aktualizácia.

 

Dôsledky
Zvýšenie práv z úrovne obmedzeného používateľa na SYSTEM / TrustedInstaller
Vykonávanie ľubovoľného kódu

Opis činnosti
Záhadný bezpečnostný výskumník s pseudonymom SandboxEscaper, uverejňujúci zero-day zraniteľnosti pre operačný systém Windows je späť. Tentokrát zverejnil informácie a funkčný koncept útoku na zero-day zraniteľnosť pre Windows 10 a Windows Server 2016 a 2019. Zraniteľnosť sa nachádza v nástroji Task Scheduler a umožňuje používateľovi s obmedzenými právami si tieto eskalovať na úroveň systému.

V systéme Windows 10 je možné importovať staré verzie súborov pre Task Scheduler s ľubovoľným voliteľným zoznamom prístupových práv (DACL - discretionary access control list). Jedná sa o .job súbory používané v systéme Windows XP. Tieto je možné po nakopírovaní do zložky ...\windows\tasks importovať s použitím súborov "schtasks.exe" a "schedsvc.dll" z Windows XP. To vedie ku vzdialenému volaniu procedúr (RPC) pre metódu "_SchRpcRegisterTask", ktorá registruje úlohy pre službu Task Scheduler. Pritom dochádza k nesprávnemu overovaniu práv.

Zraniteľnosť je možné zneužiť importovaním špeciálne upraveného .job súboru do nástroja Task Scheduler. Pokiaľ súbor nemá nastavené DACL práva, systém povolí plný prístup k súboru ľubovoľnému používateľovi.

Analytik spoločnosti CERT/CC Will Dormann potvrdil funkčnosť zverejneného ukážkového kódu pre Windows 10, Windows Server 2016 a 2019. Pre verzie Windows 7 a 8 kód nefungoval, no je možné, že po istých úpravách by sa dal použiť na ľubovoľnú verziu operačného systému Windows od verzie XP / Server 2003.

Zraniteľné systémy
Windows 10, Windows Server 2016 a 2019. Je možné, že zraniteľnosť sa nachádza aj v ostatných verziách Windows od verzií XP a Server 2003.

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Ku dňu publikovania tohto varovania ešte nebola vydaná žiadna opravná aktualizácia.

Odkazy
https://securityaffairs.co/wordpress/85952/breaking-news/sandboxescaper-windows-zero-day.html
https://thehackernews.com/2019/05/windows-zero-day-vulnerability.html
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/
https://www.zdnet.com/article/windows-10-zero-day-exploit-code-released-online/



<< zoznam oznámení