В Windows найдена огромная дыра, которая любого пользователя превращает в администратора. Защиты толком нет - CNews
Хакеры научились повышать привилегии пользователей в Windows и наделять их правами администратора. Это позволяет им проводить расширенный список атак на ПК пользователя. Обнаружить проблему крайне трудно из-за особенностей самой ОС, и решения, позволяющие их увидеть, почти недоступны обычным пользователям.
Киберпреступники освоили новую технику взлома ПК под управлением Windows при помощи принудительного повышения прав пользователей внутри системы, пишет Bleeping Computer. Они могут превратить низкоуровневого пользователя в администратора с соответствующими правами доступа и получить массу возможностей для атак.
Новый метод под названием RID Hijacking практикует хакерская группировка Andariel, которая может быть тесно связана с северокорейскими хакерами из группы Lazarus. Аббревиатура в названии метода расшифровывается как Relative Identifier, а сам метод базируется на манипуляциях с внутренними системными компонентами Windows. RID представляет собой уникальный идентификатор, присваиваемый каждому пользователю в системе.
По данным ИБ-специалистов центра AhnLab Security Intelligence Center (ASEC), для повышения прав пользователей в системе злоумышленники используют целый ряд программ, включая как собственные разработки, так и утилиты, распространяющиеся свободно и с открытым исходным кодом. В списке применяемых программ – PsExec и JuicyPotato.
У идентификаторов RID есть вполне конкретные значения – 1000 для обычных пользователей, 501 для гостевых аккаунтов, 500 для администраторов и 512 для группы администраторов домена. В связи с этим, хакерам не нужно ничего подбирать – нужные значения заранее известны.
Чтобы добраться до нужных параметров и дать себе права администратора в ОС, хакерам нужно сначала получить доступ к реестру Security Account Manager (SAM) – он отвечает за управление пользовательскими профилями. Для этого им потребуется каким-либо образом добраться до учетной записи SYSTEM и получить контроль над ней.
При помощи своих инструментов хакеры запускают командную строку из-под SYSTEM, после чего при помощи команды net user (например, net user cnews$ password12345 /add) создают скрытого локального пользователя с минимальными правами пользователя приписывают к имени этой учетной записи символ $ в конце. Именно за счет этого символа профиль становится скрытым.
Такой профиль не будет отражаться в списке пользователей, но при этом будет прописан в реестре SAM. Следующий этап – внесение нового профиля в группы «Администраторы» и «Пользователи удаленного рабочего стола». Для этого используются команды net localgroup Administrators cnews$ /add и net localgroup "Remote Desktop Users" cnews$ /add.
Далее хакеры просто меняют RID учетной записи на нужный и получают расширенные права администратора. В современных версиях Windows все профили пользователей прописаны непосредственно в реестре системы и хранятся по пути HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers.
У каждой записи здесь есть отдельный ключ, в котором прописан RID. Именно эти данные хакеры и модифицируют, повышая себе права в системе до уровня администратора. Сделать это можно, к примеру, при помощи простого скрипта для PowerShell
По информации ASEC, хакеры из Andariel стараются максимально скрыть свое присутствие в системе, чтобы пользователь или системный администратор ничего не обнаружил. Для этого, покопавшись в реестре, они экспортируют новые его параметры и удаляют созданную ими учетную запись и все файлы, с ней связанные.
Затем киберпреступники заново создают профиль, но уже из сохраненных бэкапов с настройками реестра. За счет этого создание пользователя не будет отражено в системных журналах, и администратор ничего не узнает.
Делается это столь же просто, сколь и создание нового профиля. Нужно ввести команды reg export HKLMSAMSAMDomainsAccountUsersames cnews. reg, reg delete HKLMSAMSAMDomainsAccountUsersames и reg import cnews. reg, где вместо cnews может быть любое имя пользователя, соответствующее тому, что было прописано на этапе создания.
100-процентного способа защиты от новой атаки, практикуемой Andariel, к моменту выпуска материала не существовало. ASEC дает лишь рекомендации, способные повысить уровень защищенности, но не кроме того.
В частности, эксперты ASEC предлагают закрыть доступ к SAM при помощи специальных настроек, после чего регулярно отслеживать все команды, выполняемые с привилегиями SYSTEM. Для этого потребуются специализированные инструменты безопасности – SIEM-системы.
Еще одна рекомендация – использовать так называемые «инструменты для анализа поведения» (Behavior Analysis). Они позволяют обнаруживать различные аномалии в работе системы. Вопрос лишь в том, как много пользователей будут заниматься подобным на своих домашних ПК. В офис эти обязанности ложатся на плечи системного администратора или ИБ-специалиста, если таковой есть в штате.
Геннадий Ефремов
https://www.cnews.ru/news/top/2025-01-29_v_windows_najdena_ogromnaya_dyraИсточник: www.cnews.ru/news/top/2025-01-29_v_windows_najdena_ogromnaya_dyra
Комментарии (0)