Szerző: OPSWAT, Software , OPSWAT
Bevezetés
A jogosultságok kiterjesztése egy olyan típusú kihasználás, amely a rosszindulatú szereplőknek magasabb hozzáférési jogokat biztosít egy alkalmazás vagy operációs rendszer védett erőforrásaihoz.
Exploit Leírás
A CVE-2019-1405 bármely helyi felhasználó jogosultságainak helyi szolgáltatási felhasználóvá emelésére használható.
A CVE-2019-1322 felhasználható a helyi szolgáltatási felhasználó jogosultságainak helyi rendszerfelhasználóvá emelésére.
Ezért a két CVE egyetlen kihasználássá történő kombinálása lehetővé teszi bármely helyi felhasználó jogosultságainak rendszerfelhasználóvá emelését.
Ezek a sebezhetőségek a Microsoft Windows 10 1803 vagy annál magasabb rendszerű számítógépeket érintik, amelyeket nem frissítettek a legújabb javítófoltra vagy a 2019. november 12-i biztonsági frissítés javítófoltjára [1][2].
Potenciális hatás
Ez nagyon veszélyes a szervezetek számára, mert sokféleképpen lehet hozzáférni bármely géphez egy szervezeten belül. Például egy tartományvezérlőt használó szervezetben bármelyik felhasználó bejelentkezhet a tartomány bármelyik gépére, ha fizikai hozzáféréssel rendelkezik hozzá. Csak a gépen lévő felhasználói fiókjára korlátozott adatokhoz férhet hozzá. De ezeket a sebezhetőségeket kihasználva emelt szintű folyamatokat hozhat létre:
- Új felhasználói fiókok hozzáadása az Adminisztráció csoporthoz a bizalmas erőforrásokhoz való hozzáféréshez.
- Hátsó ajtók és rosszindulatú programok telepítése az áldozat gépére a későbbi kihasználásokhoz.
- Bármely adat megtekintése, módosítása vagy törlése.
Hogyan segít OPSWAT a sebezhetőségek felderítésében?
MetaDefender hozzáférés képes felismerni a sebezhetőséggel rendelkező eszközöket, és javítási utasításokat ad.
Telepítés után MetaDefender Endpoint, a program észleli a végpontok sebezhetőségeit, és jelentést tesz a MetaDefender Accessnek. MetaDefender Access elemzi az adatokat, és értesíti a végfelhasználókat, ha sérülékenységet talál, valamint hasznos utasításokat ad az észlelt sérülékenységek orvoslására. A rendszergazdák a MetaDefender Access webes konzolon keresztül is kezelhetik az összes sebezhető eszközt.
MetaDefender Core a file-based vulnerability assessment technológiával képes a végpontokon lévő bináris fájlokban lévő sebezhetőségek felderítésére. A MetaDefender Core API-kat biztosít, amelyek segítségével más szolgáltatásokkal integrálhatók a fájlok vizsgálatához. Például: a szervezet hálózatán be- és kilépő fájlok vizsgálata.
- Ha a sebezhető fájl a rendszerfájlok között van, akkor ez annak a jele, hogy frissítenie kell a rendszerét.
- Ha a sérülékeny fájl egy szoftverprogram fájlja, akkor frissítse a szoftverét, vagy fontolja meg a szoftver ideiglenes eltávolítását.
- Ha egy telepítőprogram sebezhető, akkor nem szabad telepíteni a szervezet egyetlen gépére sem.
- Ha egy könyvtárfájl a projektedben sebezhető, akkor meg kell keresned a könyvtár legújabb, javított verzióját, vagy le kell állnod a használatával, ha nincs javítás a sebezhetőségre.
Hogyan lehet kihasználni?
A sebezhetőséget kihasználó kód megtalálható a https://www.exploit-db.com/exploits/47684 oldalon, a Rapid7 [3] Metasploit keretrendszerének egyik moduljaként.
Exploit demo:
- Támadó gép: Kali Linux.
- Áldozati gép: Windows 10 1803 x64
- A demó feltételezi, hogy a támadó már hozzáfér az áldozat gépéhez.
Helyreállítás
Erősen ajánlott, hogy mindig tartsa naprakészen a Windows-t, különösen a biztonsággal kapcsolatos frissítéseket (KB); vagy legalább a biztonsági javításokat alkalmazza 2019 novemberéig.
Hivatkozások
[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability". Elérhető: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] "CVE-2019-1322 | Microsoft Windows jogosultsági rés növelése". Elérhető: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Metasploit of Rapid7". Elérhető: https://www.metasploit.com/
