21.01.2019
Публично раскрытая уязвимость Windows нулевого дня может позволить злоумышленникам получить полный контроль над системами, если они скомпрометируют учетную запись с низким уровнем привилегий.
В начале 2019 года были найдены и обнародованы две уязвимости Microsoft в Windows, пока еще не создана постоянная защита, но написаны временные патчи, которые смогут защитить систему до времени создания постоянных патчей.
В течение последних двух недель декабря энтузиаст безопасности, использующий онлайн-дескриптор SandboxEscaper, выпустил подробности и проверочный код для двух уязвимостей, повышающих привилегии в Windows. Исследователи из ACROS Security выпустили временный «микропатч» для одного из них через 0patch, сервис, который обеспечивает двоичное исправление в памяти для уязвимостей нулевого дня и в настоящее время они также тестируют исправление для вторичной проблемы.
Одна из уязвимостей SandboxEscaper позволяет пользователю с низким уровнем привилегий читать любой файл в системе, включая файлы, принадлежащие другим пользователям. Эксплойт использует функцию Windows MsiAdvertiseProduct, которая выполняет операции с привилегиями SYSTEM, что может привести к раскрытию информации, особенно если злоумышленники знают путь к потенциально конфиденциальным файлам, которые они могут раскрыть.
Вторая уязвимость является еще более серьезной и позволяет пользователям с низкими привилегиями перезаписывать произвольные файлы как SYSTEM, что приводит к выполнению произвольного кода с максимально возможными привилегиями. Этот недостаток был назван AngryPolarBearBug и является именно той уязвимостью, для которой 0patch.com выпустил микропатч.
Уязвимости повышения привилегий не позволяют хакерам взломать компьютеры удаленно без вмешательства пользователя. Однако, как только злоумышленники скомпрометируют учетную запись с низким уровнем привилегий другим способом, например вредоносным ПО, доставляемым по электронной почте, они смогут использовать такие ошибки, чтобы получить полный контроль над системами. SandboxEscaper обнаружил четыре ошибки повышения привилегий Windows с августа, и первая из них, расположенная в планировщике задач Windows, была экстренно использована хакерами при атаках до того, как Microsoft смогла выпустить патч.
К счастью, AngryPolarBearBug использовать не так просто, как планировщик задач Windows, злоумышленники не могут полностью контролировать данные, файлы которых перезаписываются. Тестовая версия, выпущенная SandboxEscaper, перезаписывает критический системный файл, необходимый во время процесса загрузки Windows, что приводит к условию отказа в обслуживании, а не к выполнению произвольного кода. Однако это не означает, что выполнение кода невозможно.
«Наш микропатч предназначен для 64-разрядной версии Windows 10 1803», - говорит Митя Колсек, генеральный директор ACROS Security и соучредитель сервиса 0patch.com. «Мы часто делаем микропатчи только для одной или нескольких самых популярных версий и ждем, пока пользователи проявят интерес к портированию на другие версии по мере необходимости».
Применение временного исправления требует установки небольшого программного агента с сайта 0patch.com, который затем исправит уязвимый процесс Windows непосредственно в памяти, не касаясь файла на диске. Этот процесс известен как микропатчирование и не требует перезапуска ОС или даже уязвимого процесса. Затем патч можно удалить одним нажатием кнопки, не оставляя никаких следов, когда официальное обновление Microsoft будет готово к применению.z
Микропатчинг может быть полезен в нескольких ситуациях. Помимо устранения недостатков нулевого дня, для которых не существует официального патча, его можно использовать для исправления недавно обнаруженных недостатков в версиях программного обеспечения или операционной системы, которые больше не поддерживаются их разработчиками. Его также можно использовать в качестве временного решения в тех случаях, когда для применения официального исправления потребуется перезапустить уязвимую систему или приложение, которое выполняет критическую задачу.
Microsoft выпускает исправления во второй вторник каждого месяца, день, который стал известен в индустрии программного обеспечения как вторник исправлений. Он редко выходит из этого цикла и обычно выпускает внеполосные исправления безопасности, только если в широко распространенных атаках используется критическая уязвимость нулевого дня. Это означает, что компания вряд ли исправит AngryPolarBearBug и произвольную ошибку чтения файлов SandboxEscaper как минимум до 12 февраля.
В течение последних двух недель декабря энтузиаст безопасности, использующий онлайн-дескриптор SandboxEscaper, выпустил подробности и проверочный код для двух уязвимостей, повышающих привилегии в Windows. Исследователи из ACROS Security выпустили временный «микропатч» для одного из них через 0patch, сервис, который обеспечивает двоичное исправление в памяти для уязвимостей нулевого дня и в настоящее время они также тестируют исправление для вторичной проблемы.
Новые уязвимости Windows
Одна из уязвимостей SandboxEscaper позволяет пользователю с низким уровнем привилегий читать любой файл в системе, включая файлы, принадлежащие другим пользователям. Эксплойт использует функцию Windows MsiAdvertiseProduct, которая выполняет операции с привилегиями SYSTEM, что может привести к раскрытию информации, особенно если злоумышленники знают путь к потенциально конфиденциальным файлам, которые они могут раскрыть.
Вторая уязвимость является еще более серьезной и позволяет пользователям с низкими привилегиями перезаписывать произвольные файлы как SYSTEM, что приводит к выполнению произвольного кода с максимально возможными привилегиями. Этот недостаток был назван AngryPolarBearBug и является именно той уязвимостью, для которой 0patch.com выпустил микропатч.
Как работают уязвимости?
Уязвимости повышения привилегий не позволяют хакерам взломать компьютеры удаленно без вмешательства пользователя. Однако, как только злоумышленники скомпрометируют учетную запись с низким уровнем привилегий другим способом, например вредоносным ПО, доставляемым по электронной почте, они смогут использовать такие ошибки, чтобы получить полный контроль над системами. SandboxEscaper обнаружил четыре ошибки повышения привилегий Windows с августа, и первая из них, расположенная в планировщике задач Windows, была экстренно использована хакерами при атаках до того, как Microsoft смогла выпустить патч.
К счастью, AngryPolarBearBug использовать не так просто, как планировщик задач Windows, злоумышленники не могут полностью контролировать данные, файлы которых перезаписываются. Тестовая версия, выпущенная SandboxEscaper, перезаписывает критический системный файл, необходимый во время процесса загрузки Windows, что приводит к условию отказа в обслуживании, а не к выполнению произвольного кода. Однако это не означает, что выполнение кода невозможно.
«Наш микропатч предназначен для 64-разрядной версии Windows 10 1803», - говорит Митя Колсек, генеральный директор ACROS Security и соучредитель сервиса 0patch.com. «Мы часто делаем микропатчи только для одной или нескольких самых популярных версий и ждем, пока пользователи проявят интерес к портированию на другие версии по мере необходимости».
Как устанавливается микропатч?
Применение временного исправления требует установки небольшого программного агента с сайта 0patch.com, который затем исправит уязвимый процесс Windows непосредственно в памяти, не касаясь файла на диске. Этот процесс известен как микропатчирование и не требует перезапуска ОС или даже уязвимого процесса. Затем патч можно удалить одним нажатием кнопки, не оставляя никаких следов, когда официальное обновление Microsoft будет готово к применению.z
Применение микропатчинга
Микропатчинг может быть полезен в нескольких ситуациях. Помимо устранения недостатков нулевого дня, для которых не существует официального патча, его можно использовать для исправления недавно обнаруженных недостатков в версиях программного обеспечения или операционной системы, которые больше не поддерживаются их разработчиками. Его также можно использовать в качестве временного решения в тех случаях, когда для применения официального исправления потребуется перезапустить уязвимую систему или приложение, которое выполняет критическую задачу.
Срок изготовления обновлений Microsoft
Microsoft выпускает исправления во второй вторник каждого месяца, день, который стал известен в индустрии программного обеспечения как вторник исправлений. Он редко выходит из этого цикла и обычно выпускает внеполосные исправления безопасности, только если в широко распространенных атаках используется критическая уязвимость нулевого дня. Это означает, что компания вряд ли исправит AngryPolarBearBug и произвольную ошибку чтения файлов SandboxEscaper как минимум до 12 февраля.
