Исследователь обнаружил уязвимость под названием PhantomRPC, которую компания Microsoft не считает уязвимостью, требующей исправления.
PhantomRPC использует механизм Windows вызова процедур (RPC) Windows , который является основой взаимодействия между Windows . Эта уязвимость позволяет процессу, обладающему правами на подмену личности, повысить свои привилегии до уровня SYSTEM, подменяя себя под клиентов с высокими привилегиями, подключающихся к поддельному серверу RPC.
Исследователь представил подробный технический отчет, в котором описал пять способов злоупотребления, включая принуждение, взаимодействие с пользователем или фоновые службы. Он предупредил, что потенциальные векторы атак «фактически неограниченны», поскольку основная проблема носит архитектурный характер.
Однако компания Microsoft классифицировала эту проблему как «умеренную», отказалась выплатить вознаграждение, не присвоила ей номер CVE (место в списке общих уязвимостей и угроз) и закрыла дело без дальнейшего отслеживания. По ее мнению, для реализации этой техники требуется заранее взломанный компьютер, и она не обеспечивает доступ без аутентификации или удаленный доступ.
Эксперты не согласились с оценкой Microsoft. Их беспокоит то, что Microsoft преуменьшает значение системного метода повышения привилегий на локальном уровне, который присутствует во всех поддерживаемых Windows .
Проблема
Суть данной проблемы заключается в том, что среда выполнения Windows недостаточно тщательно проверяет, является ли сервер, к которому подключается клиент с высокими привилегиями, действительно той конечной точкой, к которой предполагалось подключиться.
Если легитимный RPC-сервер недоступен (например, из-за остановки службы, неправильной настройки, отсутствия установки или вследствие условия гонки), злоумышленник, обладающий привилегией SeImpersonatePrivilege, может запустить поддельный RPC-сервер, который «заполнит пробел», используя тот же интерфейс и ту же конечную точку.
Когда пользователь SYSTEM или клиент с высокими привилегиями подключается к этому поддельному серверу, используя уровень имитации, позволяющий серверу выступать от имени клиента, злоумышленник может вызвать RpcImpersonateClient и немедленно повысить их привилегии до уровня SYSTEM.
С точки зрения Microsoft, возможность запускать таким образом вредоносный RPC-сервер относится к категории «уже скомпрометированных».
SeImpersonatePrivilege
Чтобы лучше понять эту проблему, нам нужно разобраться в том, что делает функция SeImpersonatePrivilege.
По сути, SeImpersonatePrivilege — это Windows , которое позволяет программе «выдавать себя за вас» после того, как вы уже вошли в систему, чтобы она могла выполнять действия от вашего имени, используя ваш уровень доступа.
Это необходимо, поскольку многие системные службы и приложения серверного типа (системы обмена файлами, RPC-серверы, COM-серверы, веб-приложения) должны выполнять действия от имени пользователя, например читать его файлы или применять групповую политику.
Если злоумышленник получит эти права, он сможет создать поддельную службу или сервер и дождаться, пока с ним установит связь учетная запись с более широкими правами. Когда эта служба с высокими правами подключится, злоумышленник сможет перехватить ее токен безопасности и выдать себя за нее, тем самым фактически перейдя от учетной записи с ограниченными правами к полному контролю над системой на данном компьютере.
Защита
Представитель компании Microsoft выступил со следующим заявлением:
«Данная методика требует наличия уже взломанного компьютера и не обеспечивает доступ без аутентификации или удаленный доступ. Любое обновление представляет собой компромисс между существующей совместимостью и рисками для клиентов, и мы по-прежнему стремимся постоянно укреплять безопасность наших продуктов. Мы рекомендуем клиентам следовать передовым практикам в области безопасности, в том числе ограничивать административные привилегии и применять принцип минимальных привилегий».
По нашему мнению, для надлежащего устранения уязвимости PhantomRPC потребуются радикальные изменения в архитектуре RPC, что сложно реализовать в существующих Windows без нарушения совместимости. Учитывая масштаб необходимых изменений, возможно, это будет реализовано в будущих версиях.
Что вы можете сделать:
- Поскольку PhantomRPC является одним из звеньев в более обширной цепочке, по-прежнему очень важно своевременно обновлять Windows .
- Используйте свою учетную запись администратора с осторожностью и только для тех задач, которые требуют таких прав.
- Используйте современное антивирусное решение, работающее в режиме реального времени, способное обнаруживать и блокировать подозрительные действия, направленные на повышение привилегий.
- Не следует слепо отключать или «укреплять» службы, так как на их место может занять вредоносная служба.
Чтобы ответить на вопрос, заданный в заголовке: это похоже на «функцию», которой можно злоупотреблять самыми разными способами; функцию, которая пережила свою первоначальную модель угроз. Специалистам по безопасности следует рассматривать их как постоянные риски, а не как единичные уязвимости (CVE).
«Один из лучших комплексов решений для кибербезопасности в мире».
По данным CNET.Прочитать их обзор →
