Найден способ захватить Windows с помощью лишнего пробела

Автопривилегированность Эксперт по информационной безопасности Дэвид Уэллс (David Wells) обнаружил новый, по его мнению, способ обходитьфункцию контроля учетных записей в Windows — UAC. UAC — это компонент операционных систем Microsoft, которыйзапрашивает подтверждение действий, требующих прав администратора, в целяхзащиты от несанкционированного использования компьютера. Данный компонентограничивает привилегии той или иной программы в системе на уровне рядовогопользователя до тех пор, пока администратор не разрешит повысить данныепривилегии. Некоторые программы имеют возможность автоматически повышатьсобственные привилегии. Чтобы предотвратить инциденты, Windows осуществляетсерию дополнительных проверок безопасности так, предоставляя возможностьавтоматического повышения привилегий только избранной группе доверенныхпрограмм. С помощью подделки системных папок Windows можно получить права администратора Такие программы должны обладать особой конфигурацией инадлежащей цифровой подписью, гарантирующей подлинность. Кроме того, они должнызапускаться из доверенной папки, например, C:\Windows\System32. Как работаетуязвимость Уэллс обнаружил, что собственная система идентификацииприложений Windows — appinfo.dll — использует API RtlPrefixUnicodeString дляпроверки, начинается ли путь запускаемого приложения с C:\Windows\System32\. Затем исследователь создал папку с названием C:\Windows \ (спробелом после Windows). Просто так, средствами проводника Windows этого несделать — операционная система не любит такие названия, вдобавок оно не пройдетпроверку RtlPrefixUnicodeString. Однако с помощью API CreateDirectory, с добавлениемпоследовательности символов \\?\ к началу Уэллсу удалось добиться созданияпапки с некоректным названием, а также организовать внутри нее подкаталог System32(C:\Windows \System32). Уэллс затем скопировал в нее файл winSAT.exe — доверенноеприложение, которому разрешено автоматическое повышение привилегий. И тут обнаружилось, что appinfo.dll совершенно спокойноконвертирует путь C:\Windows \System32\winSAT.exe в обычныйC:\Windows\System32\winSAT.exe, и UAC никак не реагирует на существованиенесанкционированного пробела. В дальнейшем, как выясняется, все дополнительные проверкиспокойно «проглатывают» путь с пробелом, и копия winSAT.exe, располагающаяся в некорректнойпапке получает от appinfo.dll повышенные привилегии. После этого эксперт поместил в папку C:\Windows \System32\фальшивый файл WINMM.dll, содержащий вредоносный код; этот файл импортируетсяwinSAT.ee, так что происходит локальный захват DLL — динамически подключаемойбиблиотеки для, позволяющей многократно использовать различные программныеприложения. Комментарий эксперта «Тут, похоже, наблюдается целая комбинация ошибок вразличных компонентах Windows, которые могут представлять угрозу, только еслизнать, как их комбинировать, — полагает МихаилЗайцев, эксперт по информационной безопасности компании SEC ConsultServices. — Хотелось бы надеяться, что Microsoft довольно быстро обратитвнимание на этот способ обхода механизмов защиты Windows, поскольку покасценарий атак с помощью этого метода выглядит вполне реалистичным». Ссылка на источник