Microsoft за год не устранила уязвимость повышения привилегий в Windows

Специалист по безопасности компании CSL Себастьян Кастро (Sebastian Castro) из Колумбии обнаружил в Windows уязвимость, которая позволяет получить любому пользователю права администратора и защитить внедрённый вирус от удаления. Microsoft не может устранить эту уязвимость с декабря 2017 года.

Характер уязвимости

Атака основана на изменении ключей реестра Windows, что позволяет присвоить учётной записи любой относительный идентификатор (Relative Identifier, RID). Он добавляется в конце уникального номера каждой учётной записи. Например, RID 500 принадлежит аккаунту администратора, а 501 — гостя.

Манипулируя ключами реестра, можно переназначить RID для учётной записи и повысить её привилегии вплоть до SYSTEM.

Атаке подвержены локальные компьютеры и устройства, открытые для сетевого доступа без пароля. Так как используются механизмы самой ОС, антивирусы, скорее всего, не засекут подобный эксплойт. А в логах системы все операции будут фиксироваться как пользовательские.

Меры безопасности

Пока адекватных механизмов защиты нет. Эксперт протестировал Windows XP, 8.1, 10 и Server 2003, и на всех обнаружилась эта уязвимость.

Впервые баг был описан ещё в декабре 2017 года, но до сих пор не исправлен. При этом атак с использованием описанного метода не зафиксировано.

Себастьян Кастро опубликовал код вредоносного модуля на GitHub.

В октябре 2018 года в браузере Microsoft Edge специалисты обнаружили уязвимость, которая позволяла запускать на компьютере любой вредоносный код.