RoguePlanet и GreatXML – най-новите експлойти за повишаване на привилегиите в Windows

Откакто се появи на сцената на киберсигурността, експертът с псевдоним Nightmare-Eclipse (известен още като Chaotic-Eclipse) се превърна вероятно в най-големия трън в очите на Microsoft. Продължителната сага между компанията и недоволния експерт по киберсигурност получи ново развитие тази седмица, благодарение на публикуването на експлойтите RoguePlanet и GreatXML.

Първият е по-опасен, тъй като използва още една уязвимост в Windows Defender за получаване на привилегии за достъп на ниво SYSTEM, което позволява на атакуващия да изпълнява команди с ниво на привилегии, дори по-високо от това на стандартен администратор.

Практическият механизъм е прост: достатъчно е чрез измама да се накара потребителят да стартира скрипт, и този скрипт ще получи пълен достъп до машината, предоставяйки възможност да изтегли всички данни, да инсталира зловреден софтуер за екфилтрация или да изпълнява всякакви други злонамерени действия.

Струва си да се отбележи, че RoguePlanet зависи от условие, свързано с времето, което изглежда се намира между монтирането на ISO и Volume Shadow Copy, което означава, че той е времево зависим и точните условия, при които може да бъде активиран на компютъра на жертвата, не са гарантирани. Самият Eclipse твърди, че макар и на някои инсталации да са имали 100% успех, експлойтът „е работил трудно при други“. Той също така отбелязва, че RoguePlanet работи на напълно обновена система Windows, включваща наскоро излязлата актуализация от този месец и е напълно сигурен, че Windows Server също е уязвим, което изисква преработване на кода за доказателство на концепцията, за да се заобиколи фактът, че потребителите на сървърните версии не могат да монтират ISO по подразбиране.

Що се отнася до GreatXML, това е още един метод за заобикаляне на BitLocker. Той е много по-малко опасен от YellowKey, тъй като условията за прилагането му са много по-строги, но все пак това е неприятен момент за Microsoft. За да стартира заобикалянето, атакуващият трябва да запише специално създаден файл „unattend.xml“ и директория „Recovery“ в раздела за възстановяване на Windows. След това, ако е стартирано или по-рано е било стартирано автономно сканиране на Windows Defender, рестартирането в средата за възстановяване ще отвори защитения с BitLocker диск без проблеми. Изискванията към атакуващия са доста високи, но обосноваността на подхода все още повдига въпроси за това какви подобни на бекдори поведения все още присъстват в BitLocker и средата за възстановяване на Windows (WinRE).

Eclipse смята, че може би ще успее да стартира автономно сканиране на Defender без да се влиза в системата, но засега това не е сигурно. Въпреки това няма да е изненадващо, ако скоро измисли начин да го направи. Като се има предвид, че конфликтът на Eclipse с Microsoft доведе до блокиране на акаунта му в GitHub, изследователят премести своите proof-of-concept в Church of Malware – относително свободна общност и хранилище на код за експлойти. Забавно е обаче, че вторият му акаунт в GitHub все още е активен. По-рано компанията заплаши Eclipse със съдебни искове, но след това отстъпи. От своя страна, Eclipse по-рано заплаши да разкрие множество уязвимости от типа нулев ден в Windows на 14 юли. След това обаче той също смекчи позицията си, заявявайки, че писането на RoguePlanet е отнело повече време, отколкото се очаквал, и че вероятно ще си вземе почивка, така че 14 юли изглежда няма да се превърне в „Деня на края на Windows“.