Dwie niezałatane dziury 0-day dla Windows 10

Microsoft niestety nie wypuścił w tym miesiącu poprawek dla dwóch publicznie znanych od grudnia zeszłego roku podatności. Na szczęście niezależni specjaliści stworzyli tymczasowe poprawki, które można łatwo zastosować w celu ochrony systemów do czasu, gdy oficjalne poprawki zostaną opublikowane przez producenta.


W ciągu ostatnich dwóch tygodni grudnia specjalistka bezpieczeństwa znana jako SandboxEscaper opublikowała szczegóły i proof-of-concept exploita bazującego na dwóch podatnościach związanych z eskalacją uprawnień w Windows. Badacze z ACROS Security wydali tymczasowy "mikropatch" dla jednego z nich poprzez 0patch (usługę, która zapewnia binarne patchowanie w pamięci dla podatności 0day) a obecnie testują również poprawkę dla drugiego problemu.

Na czym polega podatność

Jedna z podatności opisanych przez SandboxEscaper pozwala nisko uprzywilejowanemu użytkownikowi odczytać dowolny plik w systemie, w tym pliki należące do innych użytkowników. Exploit nadużywa funkcji Windows zwanej MsiAdvertiseProduct, która wykonuje operacje z uprawnieniami SYSTEM, co może prowadzić do ujawnienia nieprzewidzianych informacji, zwłaszcza jeśli atakujący znają ścieżkę do potencjalnie wrażliwych plików.

Druga luka jest jeszcze poważniejsza i pozwala użytkownikom o niskich uprawnieniach na nadpisywanie dowolnych plików jako SYSTEM, potencjalnie prowadząc do wykonywania dowolnego kodu z możliwie najwyższymi uprawnieniami. Ten błąd został nazwany AngryPolarBearBug i jest tym, dla którego 0patch.com wydał mikropatch.

Jak duże jest zagrożenie

Luki w zakresie eskalacji uprawnień oczywiście nie pozwalają atakującym na zdalne włamywanie się do komputerów bez interakcji z użytkownikiem. Jednak jeśli atakujący przejmą konto o niskich uprawnieniach za pomocą innej metody, na przykład dzięki złośliwemu oprogramowaniu dostarczonemu przez pocztę elektroniczną, mogą oni wykorzystać wspomniane błędy, aby przejąć pełną kontrolę nad systemem. SandboxEscaper ujawniła cztery błędy eskalacji uprawnień Windows od sierpnia 2018, a pierwszy, znajdujący się w Windows Task Scheduler, był bardzo szybko używany przez hakerów w atakach, zanim Microsoft zdołał wydać poprawkę.

Na szczęście AngryPolarBearBug nie jest tak łatwą do wykorzystania podatnością jak wcześniej ujawniona podatność Windows Task Scheduler. ponieważ jest to błąd "race condition" atakujący potrzebuje wielu prób, aby odnieść sukces, a także dlatego, że atakujący nie mogą w pełni kontrolować danych, którymi pliki są nadpisywane. Proof-of-concept opublikowany przez SandboxEscaper nadpisuje krytyczny plik systemowy, który jest potrzebny w procesie uruchamiania systemu Windows, co prowadzi raczej do błędu DoS niż do wykonania dowolnego kodu. Nie oznacza to jednak, że wykonanie dowolnego kodu nie jest możliwe.

Jak mówi Mitja Kolsek, CEO ACROS Security i współzałożyciel serwisu 0patch.com.

Nasz mikropatch jest dla Windows 10 w wersji 1803 64-bitowej. Często wykonujemy mikropatch tylko dla jednej lub kilku najpopularniejszych wersji i czekamy, aż użytkownicy wyrażą zainteresowanie przeniesieniem do innych wersji w razie potrzeby.

Jak jest nanoszony mikropatch?

Zastosowanie tymczasowej poprawki wymaga zainstalowania małego agenta oprogramowania z 0patch.com, który następnie dokona łatania wrażliwego procesu Windows bezpośrednio w pamięci, bez dotykania pliku na dysku. Proces ten znany jest jako mikropatching i nie wymaga restartu systemu operacyjnego lub nawet procesu. Patch może być usunięty za pomocą jednego kliknięcia przycisku bez pozostawiania śladu, gdy oficjalna aktualizacja Microsoft będzie gotowa.

Mikropatching może być przydatny w wielu sytuacjach. Oprócz eliminacji zagrożeń 0day, dla których nie istnieje oficjalna poprawka, może być on wykorzystany do naprawienia nowo wykrytych wad w wersjach oprogramowania lub systemu operacyjnego, które nie są już wspierane przez ich twórców. Może być również używany jako rozwiązanie tymczasowe w przypadkach, gdy zastosowanie oficjalnej poprawki wymagałoby ponownego uruchomienia systemu lub aplikacji, która wykonuje krytyczne zadanie.

Czy Microsoft szybko wyda poprawkę?

Microsoft wydaje poprawki w drugi wtorek każdego miesiąca, dzień znany w branży oprogramowania jako Patch Tuesday. Poprawki bezpieczeństwa poza tym harmonogramem wydawane są w zasadzie tylko wtedy, gdy krytyczna luka zerodniowa jest wykorzystywana w szeroko zakrojonych atakach. Oznacza to, że jest mało prawdopodobne, aby Microsoft opublikował poprawki przed 12 lutego.