Андрей Галадей

Microsoft за год не устранила уязвимость повышения привилегий в Windows

Уязвимость связана с относительным идентификатором учётных записей и позволяет увеличивать привилегии пользователя через редактирование реестра.

1803
Обложка поста windows-rid-hijacking

Специалист по безопасности компании CSL Себастьян Кастро (Sebastian Castro) из Колумбии обнаружил в Windows уязвимость, которая позволяет получить любому пользователю права администратора и защитить внедрённый вирус от удаления. Microsoft не может устранить эту уязвимость с декабря 2017 года.

Характер уязвимости

Атака основана на изменении ключей реестра Windows, что позволяет присвоить учётной записи любой относительный идентификатор (Relative Identifier, RID). Он добавляется в конце уникального номера каждой учётной записи. Например, RID 500 принадлежит аккаунту администратора, а 501 — гостя.

Манипулируя ключами реестра, можно переназначить RID для учётной записи и повысить её привилегии вплоть до SYSTEM.

Атаке подвержены локальные компьютеры и устройства, открытые для сетевого доступа без пароля. Так как используются механизмы самой ОС, антивирусы, скорее всего, не засекут подобный эксплойт. А в логах системы все операции будут фиксироваться как пользовательские.

Меры безопасности

Пока адекватных механизмов защиты нет. Эксперт протестировал Windows XP, 8.1, 10 и Server 2003, и на всех обнаружилась эта уязвимость.

Впервые баг был описан ещё в декабре 2017 года, но до сих пор не исправлен. При этом атак с использованием описанного метода не зафиксировано.

Себастьян Кастро опубликовал код вредоносного модуля на GitHub.

В октябре 2018 года в браузере Microsoft Edge специалисты обнаружили уязвимость, которая позволяла запускать на компьютере любой вредоносный код.

Следите за новыми постами по любимым темам

Подпишитесь на интересующие вас теги, чтобы следить за новыми постами и быть в курсе событий.

Безопасность
Windows
Windows 10
1803
Что думаете?
0 комментариев
Сначала интересные