29 Января 2025 14:33 29 Янв 2025 14:33 |

Поделиться

В Windows найдена огромная дыра, которая любого пользователя превращает в администратора. Защиты толком нет

Неприятный сюрприз в Windows

Киберпреступники освоили новую технику взлома ПК под управлением Windows при помощи принудительного повышения прав пользователей внутри системы, пишет Bleeping Computer. Они могут превратить низкоуровневого пользователя в администратора с соответствующими правами доступа и получить массу возможностей для атак.

Новый метод под названием RID Hijacking практикует хакерская группировка Andariel, которая может быть тесно связана с северокорейскими хакерами из группы Lazarus. Аббревиатура в названии метода расшифровывается как Relative Identifier, а сам метод базируется на манипуляциях с внутренними системными компонентами Windows. RID представляет собой уникальный идентификатор, присваиваемый каждому пользователю в системе.

Открытый код в помощь хакерам

По данным ИБ-специалистов центра AhnLab Security Intelligence Center (ASEC), для повышения прав пользователей в системе злоумышленники используют целый ряд программ, включая как собственные разработки, так и утилиты, распространяющиеся свободно и с открытым исходным кодом. В списке применяемых программ – PsExec и JuicyPotato.

У идентификаторов RID есть вполне конкретные значения – 1000 для обычных пользователей, 501 для гостевых аккаунтов, 500 для администраторов и 512 для группы администраторов домена. Таким образом, хакерам не нужно ничего подбирать – нужные значения заранее известны.

Чтобы добраться до нужных параметров и дать себе права администратора в ОС, хакерам нужно сначала получить доступ к реестру Security Account Manager (SAM) – он отвечает за управление пользовательскими профилями. Для этого им потребуется каким-либо образом добраться до учетной записи SYSTEM и получить контроль над ней.

Очень простой алгоритм

При помощи своих инструментов хакеры запускают командную строку из-под SYSTEM, после чего при помощи команды net user (например, net user cnews$ password12345 /add) создают скрытого локального пользователя с минимальными правами пользователя приписывают к имени этой учетной записи символ $ в конце. Именно за счет этого символа профиль становится скрытым.

Такой профиль не будет отражаться в списке пользователей, но при этом будет прописан в реестре SAM. Следующий этап – внесение нового профиля в группы «Администраторы» и «Пользователи удаленного рабочего стола». Для этого используются команды net localgroup Administrators cnews$ /add и net localgroup "Remote Desktop Users" cnews$ /add.

Далее хакеры просто меняют RID учетной записи на нужный и получают расширенные права администратора. В современных версиях Windows все профили пользователей прописаны непосредственно в реестре системы и хранятся по пути HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users.

У каждой записи здесь есть отдельный ключ, в котором прописан RID. Именно эти данные хакеры и модифицируют, повышая себе права в системе до уровня администратора. Сделать это можно, к примеру, при помощи простого скрипта для PowerShell

Не забыть замести следы

По информации ASEC, хакеры из Andariel стараются максимально скрыть свое присутствие в системе, чтобы пользователь или системный администратор ничего не обнаружил. Для этого, покопавшись в реестре, они экспортируют новые его параметры и удаляют созданную ими учетную запись и все файлы, с ней связанные.

Затем киберпреступники заново создают профиль, но уже из сохраненных бэкапов с настройками реестра. За счет этого создание пользователя не будет отражено в системных журналах, и администратор ничего не узнает.

Делается это столь же просто, сколь и создание нового профиля. Нужно ввести команды reg export HKLM\SAM\SAM\Domains\Account\Users\names cnews.reg, reg delete HKLM\SAM\SAM\Domains\Account\Users\names и reg import cnews.reg, где вместо cnews может быть любое имя пользователя, соответствующее тому, что было прописано на этапе создания.

Как защититься

100-процентного способа защиты от новой атаки, практикуемой Andariel, к моменту выпуска материала не существовало. ASEC дает лишь рекомендации, способные повысить уровень защищенности, но не более того.

В частности, эксперты ASEC предлагают закрыть доступ к SAM при помощи специальных настроек, после чего регулярно отслеживать все команды, выполняемые с привилегиями SYSTEM. Для этого потребуются специализированные инструменты безопасности – SIEM-системы.

Еще одна рекомендация – использовать так называемые «инструменты для анализа поведения» (Behavior Analysis). Они позволяют обнаруживать различные аномалии в работе системы. Вопрос лишь в том, как много пользователей будут заниматься подобным на своих домашних ПК. В офис эти обязанности ложатся на плечи системного администратора или ИБ-специалиста, если таковой есть в штате.

Геннадий Ефремов

Поделиться

Короткая ссылка