Dovrei preoccuparmi di questo UAB bypass exploit per Windows 7?

7

Sembra che esista un exploit che presumibilmente consente di ignorare il controllo dell'account utente sui computer Windows 7 e ottenere l'accesso come amministratore. Mi stavo chiedendo se questo exploit è ancora una vulnerabilità pericolosa nella casella media di Windows 7 o se è già ampiamente rattoppato. Non ho guardato troppo da vicino l'exploit, quindi potrebbe non funzionare affatto. Sembra essere una programmazione C legittima con win32 semplicemente sfogliandola. Ho visto diversi siti che sostengono che si tratta di un exploit valido.

link

    
posta Gastrocnemius 28.03.2014 - 02:48
fonte

4 risposte

4

Ti fornirò i dettagli tecnici dell'exploit di cui parli e poi ti permetterò di decidere da solo se dovresti preoccuparti o meno.

L'exploit di bypassUAC sfrutta un bug (o meglio una funzionalità) dei sistemi operativi Windows in cui i processi firmati dal certificato di firma del codice Microsoft non richiedono all'utente quando inoltra i propri privilegi a SYSTEM. Questo è noto è l'elevazione dei privilegi nel testo di Microsoft. Il problema è stato identificato per la prima volta nel Leo Davidson nel 2009. Se guardi agli obiettivi di questo exploit, scopri che Windows 7 è vulnerabile anche se Windows Vista prima di Windows 7 non è vulnerabile. La ragione di ciò è dovuta al fatto che Microsoft ha deliberatamente minimizzato la sicurezza di Windows 7 per offrire un'esperienza utente migliore. Qualsiasi utente di Vista ti dirà il numero illimitato di prompt UAC ogni volta che eseguono un'attività. Per ridurre al minimo tali prompt, Microsoft ha deciso che tutte le applicazioni che Microsoft firma con il proprio certificato di firma del codice dovrebbero essere considerate attendibili per l'elevazione automatica dei privilegi e quindi è nata questa vulnerabilità.

Il modo in cui questa vulnerabilità viene sfruttata è che esiste un file exe in C: \ Windows \ System32 \ sysprep \ directory chiamato sysprep.exe che carica un file DLL CRYPTOBASE.DLL. Poiché sysprep.exe non carica questa DLL utilizzando il suo percorso completo, è possibile inserire una DLL dannosa con il nome CRYPTOBASE.DLL nella directory C: \ Windows \ System32 \ sysprep e sysprep.exe caricherà il file DLL dannoso quando eseguito. Questa tecnica è conosciuta come dirottamento DLL . Supponiamo che la DLL dannosa avvii notepad.exe che è firmata dal certificato di firma del codice Microsoft, inietti un'altra DLL come metsrv.dll che è il file dll Meterpreter e quindi richiedi l'elevazione dei privilegi, il processo otterrà silenziosamente i privilegi di SISTEMA senza alcun UAC prompt perché è così che è progettato nello stato predefinito su Windows 7. Questa vulnerabilità esiste anche in Windows 8 (anche se non con l'eseguibile sysprep.exe).

Ora, se sei preoccupato per questo vettore di attacco, puoi fare alcuni passi per assicurarti che l'UAC di bypass non funzioni. La prima cosa che puoi fare è non usare l'utente amministratore. Questo ti proteggerà perché l'iniezione di una DLL dannosa (o qualsiasi altro codice) in un altro processo richiede di avere privilegio di debug su quel processo. Gli amministratori possono disporre del privilegio di debug su qualsiasi processo. Ecco perché bypass UAC richiede i privilegi di amministratore. Inoltre, ci sono quattro livelli di protezione UAC nella console grafica dell'UAC nel pannello di controllo. Se imposti la protezione su Notifica sempre , nessun processo può elevarne automaticamente i privilegi. Riceverai sempre un prompt UAC come in Vista e l'UAC di esclusione fallirà (a meno che non fai clic su Consenti).

Ora decidi se preoccuparti di questa vulnerabilità o meno. Nella maggior parte dei casi, se l'utente malintenzionato ha ottenuto l'esecuzione del codice con i privilegi di amministratore, è già pronto per te. Elevandolo così SYSTEM oggi è solo un gioco simbolico.

    
risposta data 28.03.2014 - 20:37
fonte
1

UAC non è mai stato una misura di sicurezza.

Dovresti preoccuparti per questo? Dipende da cosa stai facendo al riguardo, se stai usando l'account amministratore, allora dovresti, ma se hai l'amministratore bloccato con una bella password e stai usando un secondo account, allora cosa dovresti preoccupare?

    
risposta data 28.03.2014 - 18:43
fonte
0

Questo è un exploit locale. Significa che qualcuno deve già avere accesso al tuo computer per usarlo. Per un utente domestico questo non è un problema per conto proprio. Si applicano ancora le stesse regole per la protezione del computer: ad esempio non esegui file .exe di cui non ti fidi.

    
risposta data 28.03.2014 - 10:03
fonte
0

UAC non è un limite di sicurezza e come tale non dovrebbe essere usato come misura di protezione reale. È bello avere un'idea chiara, ma non ti protegge.

Dovresti preoccuparti per questo? Certo, perché no? Un bug è un bug. Se si sta effettivamente cercando di fornire una protezione reale, allora non eseguire cose in cui UAC deve agire - eseguire come utente standard. Qualsiasi attacco in grado di aggirare UAC non avrebbe nulla da bypassare e otterrà solo i privilegi dell'utente standard, non un amministratore.

    
risposta data 28.03.2014 - 17:07
fonte

Leggi altre domande sui tag