Um pesquisador descobriu uma falha chamada PhantomRPC que a Microsoft não considera uma vulnerabilidade para a qual planeja lançar uma correção.
O PhantomRPC envolve a Chamada de Procedimento Windows (RPC) Windows , que constitui o núcleo da comunicação entre Windows . A vulnerabilidade permite que um processo com direitos de suplantar identidade eleve seus privilégios para o nível SYSTEM ao se passar por clientes com privilégios elevados que se conectam a um servidor RPC falso.
O pesquisador apresentou um relatório técnico detalhado que descreve cinco vias de exploração, incluindo coação, interação do usuário ou serviços em segundo plano. Ele alertou que os vetores potenciais são “praticamente ilimitados”, pois o problema fundamental é de natureza arquitetônica.
A Microsoft, no entanto, classificou a vulnerabilidade como “moderada”, recusou a recompensa, não atribuiu um CVE (um número na lista de Vulnerabilidades e Exposições Comuns) e encerrou o caso sem registro. Sua posição é que a técnica requer um computador já comprometido e não permite acesso não autenticado ou remoto.
Os especialistas discordaram da avaliação da Microsoft. A preocupação deles é que a Microsoft esteja minimizando uma técnica sistêmica de escalonamento de privilégios locais que existe em todas Windows compatíveis Windows .
A questão
O cerne da questão é que o ambiente de execução Windows não verifica adequadamente se o servidor ao qual um cliente com privilégios elevados se conecta é realmente o ponto de extremidade legítimo pretendido.
Se um servidor RPC legítimo não estiver acessível (por exemplo, porque o serviço foi interrompido, estava mal configurado, não estava instalado ou devido a uma condição de corrida), um invasor com o privilégio SeImpersonatePrivilege pode criar um servidor RPC falso que “preencha a lacuna” usando a mesma interface e o mesmo ponto de extremidade.
Quando um usuário SYSTEM ou um cliente com privilégios elevados se conecta a esse servidor falso, utilizando um nível de representação que permite ao servidor se passar pelo cliente, o invasor pode chamar RpcImpersonateClient e imediatamente elevar seus privilégios para o nível SYSTEM.
Do ponto de vista da Microsoft, a capacidade de executar um servidor RPC não autorizado dessa forma se enquadra na categoria de “já comprometido”.
Privilégio de suplantar identidade
Para entender melhor a questão, precisamos analisar o que o SeImpersonatePrivilege faz.
Basicamente, SeImpersonatePrivilege é a Windows que permite que um programa “se faça passar por você” depois que você já tiver feito login, para que ele possa realizar ações em seu nome usando o seu nível de acesso.
Isso é necessário porque muitos serviços do sistema e aplicativos do tipo servidor (compartilhamento de arquivos, servidores RPC, servidores COM, aplicativos web) precisam realizar ações em nome de um usuário, como ler seus arquivos ou aplicar políticas de grupo.
Se um invasor obtiver esse privilégio, ele poderá criar um serviço ou servidor falso e aguardar que uma conta com privilégios mais elevados se conecte a ele. Quando esse serviço com privilégios elevados se conectar, o invasor poderá capturar seu token de segurança e se passar por ele, passando efetivamente de uma conta com privilégios mais baixos para o controle total do sistema naquela máquina.
Proteção
Um porta-voz da Microsoft divulgou a seguinte declaração:
“Essa técnica requer uma máquina já comprometida e não permite acesso não autenticado ou remoto. Qualquer atualização representa um equilíbrio entre a compatibilidade existente e o risco para o cliente, e continuamos comprometidos em fortalecer continuamente nossos produtos. Recomendamos que os clientes sigam as melhores práticas de segurança, incluindo a limitação de privilégios administrativos e a aplicação do princípio do privilégio mínimo.”
Em nossa opinião, mitigar o PhantomRPC de forma adequada exigiria mudanças profundas na arquitetura do RPC, o que é difícil de fazer nas Windows atuais Windows sem comprometer a compatibilidade. Talvez seja algo que veremos em versões futuras, dada a magnitude das mudanças necessárias.
O que você pode fazer:
- Como o PhantomRPC faz parte de uma cadeia mais ampla, continua sendo muito importante manter Windows .
- Use sua conta de administrador com moderação e apenas para as tarefas que exijam esse tipo de privilégio.
- Utilize uma solução antimalware atualizada e em tempo real, capaz de detectar e bloquear atividades suspeitas de escalonamento de privilégios.
- Evite desativar ou “fortalecer” serviços de forma indiscriminada, pois um serviço malicioso pode ocupar o lugar deles.
Para responder à pergunta do título: parece ser um “recurso” que pode ser explorado de várias maneiras; um recurso que já ultrapassou seu modelo de ameaça original. Os defensores devem tratá-los como riscos contínuos, em vez de vulnerabilidades pontuais (CVEs).
“Um dos melhores pacotes de segurança cibernética do mundo.”
De acordo com a CNET.Leia a resenha deles →
