Kriks87 24 янв 2020 в 11:49

Windows UAC не перестаёт удивлять, или Как обнаружить инсайдера

6 мин

19K

Блог компании Инфосистемы Джет Информационная безопасность *

+18

Комментарии 24

balamutang 24 янв 2020 в 12:20

Не совсем понял: если из iexplore.exe с правами SYSTEM запустить notepad.exe, а из notepad.exe запустить cmd.exe это эти правила уже не сработают, если цепочка не подразумевает участия notepad.exe (или любого другого exe между эксплорером и консолью)?
По мне так iexplore.exe с правами SYSTEM уже достаточно громкий звоночек

Kriks87 24 янв 2020 в 13:14

Правило сработает, если будет выявлена следующая цепочка запуска процессов: consent.exe -> iexplore.exe (x64) -> iexplore.exe (x86) -> cmd.exe|powershell.exe.
Вы правы, запуск IE с правами SYSTEM уже сам по себе подозрителен, но для однозначного выявления факта эксплуатации описанной уязвимости необходимо обнаружить всю цепочку событий.

Wolf4D 24 янв 2020 в 13:20

Хех, столько лет — старые проблемы. Помню, в давние времена мне в руки попал старый сервер с Win2k, давно забытый всеми. Мне предлагали просто выкачать всё нужное с дисков и переставить ОС, но мне хотелось вернуть админский доступ к машине. Помогла уязвимость той же серии — подмена файла скринсейвера, стартующего на экране входа в систему, на cmd.exe. Процесс запускался от SYSTEM и помог мне вернуть сервер в строй.

keksmen 24 янв 2020 в 13:26

Аналогично, в своё время, возвращал доступы к устройствам нерадивых пользователей — заменял файл, отвечающий за залипание клавиш на cmd.exe. Схема дальшейших действий эквивалентна.

balamutang 24 янв 2020 в 13:48

Не, подмена файлов это уже физический доступ, не все так красиво как в описанном случае.
Из аналогов припоминается уязвимость в логон-окне win9x, где можно было открыть справку, а из справки запустить эксплорер. Т.е. даже не наклоняясь к системнику, за несколько секунд и без всяких эксплоитов — пробить дыру в безопасности непосредственно через средство обеспечения безопасности :)

SlimShaggy 26 янв 2020 в 20:29

А зачем такие сложности в Win9x, если там можно было просто отменить логон и войти пользователем по умолчанию?

balamutang 27 янв 2020 в 12:06

В 95 можно было, а в 98 не пускало так вроде. Или настройка для этого была какая-то, в общем это не всегда срабатывало, не помню деталей

Planet_Dust 27 янв 2020 в 12:16

Меня помню пускало, всегда удивлялся этому :)

balamutang 27 янв 2020 в 13:41

Ну в этом случае сетевое окружение не работало. Были доступны только локальные файлы. Для дома разницы особо и нет, а для работы в организации, где файлы/базы все на шаре это вполне себе могло сойти за защиту. Но в каком-то случае на рабочий стол не пускало и в 9х, возможно в последних версиях.
Впрочем для Майкрософт это не было багом, они отмораживались что организациям надо использовать NT

dartraiden 24 янв 2020 в 14:48

Для защиты от такого рода атак предназначен Bitlocker. Это даже не уязвимость, а простое отсутствие шифрования.

fmj 24 янв 2020 в 15:33

как они(ms) додумались запускать браузер с рутовыми правами для такой задачи(показ инфы о сертификате)?
похоже на то, что тот, кто делал этот функционал в uac, просто забил — «и так сойдет».

Kriks87 24 янв 2020 в 15:54

Браузер запускается с SYSTEM правами, поскольку родительским для него является процесс consent.exe, который всегда работает от SYSTEM.

fmj 24 янв 2020 в 15:59

это понятно, но вроде есть способы запускать с обычными правами из-под привилегированных.

вот гуглится: devblogs.microsoft.com/oldnewthing/20131118-00/?p=2643

balamutang 24 янв 2020 в 16:50

Да в том-то и дело что думать тут как раз никто не напрягся — приложение работает от системы, приложение выводит на экран стандартную форму, в стандартной форме есть ссылка, которая вызывает дочерний эксплорер.

DriverEntry 24 янв 2020 в 18:40

При наличии прав локального администратора есть и более простые способы запустить процесс от имени SYSTEM. Установить службу или драйвер, например.

-2

Mur81 24 янв 2020 в 19:25

Здесь изначально нет прав локального админа.

DriverEntry 24 янв 2020 в 20:43

Нет Windows под рукой. Разве окно UAC на первом скриншоте появляется до входа под администратором?

Mur81 24 янв 2020 в 20:52

Конечно. Сидишь ты под юзером, что-то запускаешь и вылезает вот это вот (то что на скриншоте), говоришь «да» и вылезает запрос пароля админа.

DriverEntry 24 янв 2020 в 20:58

Тогда да, не в тему комментарий был.

Mur81 24 янв 2020 в 19:28

Меня всегда интересовало зачем вообще оставлять группе «Пользователи» возможность повысить права?
Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Контроль учётных записей: поведение запроса на повышение прав для обычных пользователей -> Автоматически отклонять запросы на повышение прав.

fmj 25 янв 2020 в 13:14

В корпоративной среде пользователи не ставят сами ПО, а вот если свой личный комп, сижу из-под обычного пользователя — мне каждый раз заходить под админом, чтобы ПО установить?

Mur81 25 янв 2020 в 13:27

Дык, ясное дело я про корпоративный сектор говорю. Вы же на своём личном компе себе не будете права системы получать таким образом, равно как и опасаться того, что кто-то за него сядет и так его ломать будет.

nsmcan 25 янв 2020 в 03:12

Интересно, а если вместо http ссылки в сертификате сгенерировать файловую — откроется файловый менеджер вместо IE?

a-tk 25 янв 2020 в 18:42

Напомнило «взлом» Win98, когда можно было обойти окно ввода пароля пользователя через справку.
Нажимаем кнопку «Справка», далее в открывшемся окне идём в меню Файл — Открыть, в окне открытия файла идём в C:\Windows, вбиваем в строке имени файла *.exe или *.*, находим explorer.exe, тыкаем правой кнопкой мыши — выбираем в контекстном меню «Запустить».

Зарегистрируйтесь на Хабре , чтобы оставить комментарий