Для тех ,кто решил зарегистрироваться на форуме «Беседка» !
Категорически запрещена регистрация  с одноразового и временного e-mail !Такие пользователи будут отправляться в бан без объяснения причин.
После регистрации необходимо активировать свою учетную запись .Если Вы в почте не обнаружили письмо с активацией рекомендуется проверить папку «Спам».
С уважением
 Администрация форума

Автор Тема: Уязвимости ОС Windows  (Прочитано 11526 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #60 : 03 Мая 2019, 21:18 »
81% критических уязвимостей в продуктах Microsoft решаются отключением прав администратора
За 6 лет число «критических» уязвимостей в продуктах Microsoft возросло на 29%.

За период с 2013 по 2018 годы количество уязвимостей в решениях компании Microsoft выросло на 110%, в общей сложности в 2018 году продуктах техногиганта было выявлено более 700 проблем. Такие данные приводятся в новом отчете компании BeyondTrust, посвященном багам в ПО Microsoft.

За прошедшие шесть лет число уязвимостей, классифицированных как «критические», также возросло - на 29%. Основная доля проблем, обнаруженных в 2018 году, приходится на баги удаленного выполнения кода (292 уязвимости), еще 197 охарактеризованы как «критические» (61%).

В минувшем году в платформах Windows Vista, Windows 7, Windows RT, Windows 8/8.1 и Windows 10 в общей сложности было обнаружено 499 уязвимостей, из них 169 критические (34%). Аналогичное число проблем было выявлено и в Windows Server (30% составляют критические уязвимости).

Несмотря на сравнительную новизну браузера Microsoft Edge, число обнаруженных в нем уязвимостей (112) в три раза превышает показатель Internet Explorer (39), отмечается в докладе. Его авторы также указывают, что за два года количество обнаруженных в Edge багов увеличилось в шесть раз. Кроме того, за шесть лет возросло и число уязвимостей в пакете Microsoft Office (на 121%).

По итогам проведенного анализа авторы отчета пришли к выводу, что 81% критических уязвимостей из официальных бюллетеней безопасности Microsoft за 2019 год можно устранить, просто отключив права администратора.


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #61 : 21 Мая 2019, 20:07 »
Для «червеподобной» уязвимости в Windows разработаны эксплоиты
Уязвимость можно проэксплуатировать для удаленного выполнения кода.

На минувшей неделе компания Microsoft выпустила патч, устраняющий уязвимость CVE-2019-0708 (получила название BlueKeep), предоставляющую возможность осуществить атаки наподобие эпидемии WannaCry, от которой в 2017 году пострадали сотни тысяч компьютеров по всему миру. Баг затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Хотя в компании не зафиксировали атак с использованием данной уязвимости, ряд ИБ-экспертов уже подтвердили, что ее можно проэксплуатировать для удаленного выполнения кода, и разработали соответствующие PoC-эксплоиты.

В частности, данный факт подтвердил основатель специализирующейся на купле-продаже эксплоитов компании Zerodium Чауки Бекрар (Chaouki Bekrar). По его словам, уязвимость работает удаленно без авторизации и позволяет повысить привилегии на уязвимых платформах Windows Server 2008, Window 7, Windows 2003 и XP.

О создании рабочего PoC-кода заявил исследователь безопасности под псевдонимом Valthek, хотя он не предоставил подробностей о своем эксплоите. Работоспособность кода подтвердил специалист McAfee Кристиаан Бек (Christiaan Beek). Не вдаваясь в технические нюансы, Бек отметил, что PoC позволил добиться удаленного выполнения кода на Windows XP. По его словам, уязвимость связана с протоколом удаленного рабочего стола (RDP), поэтому пользователям рекомендуется отключить протокол, если он не нужен, и установить патч.

Как подчеркнули специалисты Microsoft, существует высокая вероятность, что злоумышленники разработают рабочий эксплоит для данной уязвимости и добавят его в свое вредоносное ПО. В этой связи пользователям настоятельно рекомендуется установить патч.


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #62 : 30 Мая 2019, 20:47 »
В «Блокноте» Windows обнаружена критическая уязвимость
Специалист проекта Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил об уязвимости в текстовом редакторе Notepad («Блокнот») в составе ОС Windows, позволяющей удаленно выполнить код.

Исследователь передал информацию о проблеме компании Microsoft, предоставив инженерам 90 дней на исправление бага. Пока Орманди воздержался от публикации технических подробностей об уязвимости, отметив лишь, что она связана с повреждением памяти. Он также опубликовал скриншот, на котором продемонстрирована эксплуатация уязвимости для вызова командной строки.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Исследователь отметил, что в его распоряжении уже имеется готовый рабочий эксплоит для данного бага.

В минувшем году Орманди сообщил об уязвимости в двух версиях одного из самых популярных BitTorrent-клиентов uTorrent, позволяющей выполнить код на атакуемой системе, получить доступ к загружаемым файлам и следить за историей загрузок.


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #63 : 01 Июня 2019, 20:12 »
Для неисправленной уязвимости в Windows 10 доступен временный патч
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.

Специалисты платформы 0patch выпустили микропатч для неисправленной уязвимости в «Планировщике задач» в Windows 10, эксплоит для которой ранее опубликовала ИБ-эксперт, известная в Сети как SandboxEscaper.

Согласно описанию, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job.

Предложенный микропатч запускает корректирующие инструкции в памяти и блокирует возможность изменения набора разрешений для системных файлов, которыми обладают непривилегированные пользователи.

В настоящее время патч доступен для 32-, и 64-разрядных версий Windows 10 (1809), а также Windows Server 2019. Для прочих редакций ОС разработчики планируют представить патч позже. Для загрузки патча требуется установить клиент 0patch.


Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #64 : 01 Июля 2019, 13:27 »
Microsoft Teams позволяет загружать и выполнять вредоносные файлы
Текущая реализация механизма обновления в приложении для настольных компьютеров Microsoft Teams позволяет загружать на систему и выполнять произвольные файлы. Проблема также затрагивает десктопное ПО GitHub, WhatApp и UiPath, но позволяет только загружать полезную нагрузку.

Для управления процессами инсталляции и обновления вышеперечисленные приложения используют проект с открытым исходным кодом Squirrel, который в свою очередь использует менеджер пакетов NuGet для загрузки необходимых файлов. Как обнаружили исследователи безопасности, с помощью команды 'update' в уязвимых приложениях можно загрузить и выполнить код в контексте текущего пользователя. То же самое касается 'squirrel.exe'.

В случае с Microsoft Teams полезная нагрузка добавляется в папку приложения и выполняется автоматически с помощью команд Update.exe --update [url to payload] или squirrel.exe --update [url to payload]. Данные команды можно использовать с другим аргументом, в том числе 'download', позволяющим извлекать удаленную полезную нагрузку в виде пакета NuGet. Способ работает также для 'squirrel.exe', являющегося частью установочного пакета Microsoft Teams.

Исследователь безопасности Риган Ричард (Reegun Richard) уведомил Microsoft о проблеме 4 июня нынешнего года. В настоящее время десктопное приложение Microsoft Teams по-прежнему уязвимо, поскольку исправление появится только в будущих релизах. До выхода патча Ричард не будет раскрывать подробности о проблеме. Тем не менее, исследователь из RingZer0 Team под псевдонимом Mr. Un1k0d3r также обнаружил проблему и опубликовал подробности.

Поблагодарили: Dovf, topinant

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #65 : 14 Августа 2019, 20:19 »
Новые червеобразные уязвимости затрагивают все версии Windows 10
Microsoft исправила четыре новые BlueKeep-подобные уязвимости в RDS.

Специалисты компании Microsoft обнаружили в Remote Desktop Services (RDS) четыре новые критические уязвимости наподобие недавно исправленных уязвимостей BlueKeep. Как сообщают эксперты, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 и CVE-2019-1226 позволяют неавторизованному атакующему получить удаленный контроль над системой без какого-либо участия со стороны пользователя.

Подобно BlueKeep, новые уязвимости также являются червеобразными и могут использоваться вредоносным ПО для автоматического самораспространения с одного уязвимого компьютера на другой. Отправив на уязвимый сервер RDS особым образом сконфигурированный аутентификационный RDP-пакет, атакующий может удаленно выполнить код на системе.

Проблема затрагивает Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и все поддерживаемые версии Windows 10, в том числе серверные. Если говорить точнее, все версии Windows затрагивают уязвимости CVE-2019-1181 и CVE-2019-1182, тогда как уязвимостям CVE-2019-1222 и CVE-2019-1226 подвержены только версии Windows 10 и Windows Server.

Уязвимости не затрагивают Windows XP, Windows Server 2003 и Windows Server 2008, а также сам по себе протокол Remote Desktop Protocol (RDP), разработанный Microsoft для Remote Desktop Services.

Свидетельств того, что об уязвимостях было известно сторонним лицам, специалисты Microsoft не обнаружили. Пользователям любых поддерживаемых версий Windows настоятельно рекомендуется установить последние обновления безопасности, выпущенные во вторник, 13 августа. В противном случае неисправленные уязвимости могут привести к волне атак самораспространяющегося ПО наподобие WannaCry или NotPetya.

Поблагодарили: Grafff, Безумный Макс

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #66 : 14 Августа 2019, 20:24 »
Взломать Windows можно через «Блокнот»
Исследователь продемонстрировал, как с помощью уязвимости в CTF можно повысить свои привилегии до уровня системы.

ПО, «закопанное» в Windows еще со времен Windows XP, позволяет получить полный контроль над системой. Атака возможна благодаря уязвимости CVE-2019-1162, исправленной компанией Microsoft с выходом обновлений безопасности во вторник, 13 августа.

Исследователь безопасности Тэвис Орманди (Tavis Ormandy) рассказал , как компонент программного интерфейса Text Services Framework (TSF) может использоваться вредоносным ПО или авторизованным злоумышленником для повышения привилегий до уровня системы. Обладая привилегиями на уровне системы, вредонос или киберпреступник может получить полный контроль над компьютером.

Речь идет о компоненте CTextFramework (CTF), присутствующем в TSF со времен Windows XP. «Не удивительно, что такой сложный, непонятный и устаревший протокол полон уязвимостей повреждения памяти. Многие объекты Component Object Model просто доверяют вам маршалирование указателей через порт Advanced Local Procedure Call, а проверка границ или целочисленного переполнения сводится к минимуму», – пояснил Орманди.

По словам исследователя, выполнять некоторые команды может только владелец окна на переднем плане. Тем не менее, злоумышленник может выдать себя за владельца атакуемого Windows-ПК без каких-либо доказательств, просто соврав о своем идентификаторе потока. Поэтому Орманди удалось написать PoC-код, позволивший ему проэксплуатировать уязвимость в CTF через приложение «Блокнот» и запустить оболочку командной строки с привилегиями системы.

«Еще одна интересная атака – захват контроля над диалогом UAC, запущенным как NT AUTHORITY\SYSTEM. Непривилегированный стандартный пользователь может инициировать запуск consent.exe с помощью команды 'runas' ShellExecute() и получить привилегии системы», – сообщил Орманди.
TSF – программный интерфейс, позволяющий выполнять ввод текста, не зависящий от языка и устройств ввода.

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #67 : 11 Сентября 2019, 21:37 »
Microsoft Teams позволяет выполнять вредоносное ПО
Microsoft не считает проблему серьезной и не планирует ее исправлять.

Злоумышленники могут использовать подлинные файлы Microsoft Teams для выполнения вредоносной нагрузки с помощью поддельной установочной папки. Проблема затрагивает большинство настольных Windows-приложений, которые используют Squirrel и фреймворк для обновлений, применяющий пакеты NuGet (в частности WhatsApp, Grammarly, GitHub, Slack и Discord).

Уязвимость обнаружил инженер Риган Ричард (Reegun Richard). Специалист смог создать поддельный пакет Microsoft Teams и использовать подписанный код для выполнения любой полезной нагрузки, находящейся в определенном месте. Для осуществления атаки наличие на атакуемой системе каких-либо других ресурсов, кроме созданного поддельного пакета, не требуется.

Как обнаружил Ричард, подлинный файл 'Update.exe' и папки 'current' и 'packages', являющиеся неотъемлемой частью установки Microsoft Teams, позволяют запускать на системе вредоносное ПО. Вредонос способен перенимать доверие к подписанному исполняемому файлу и тем самым обходить некоторые механизмы безопасности.

Как оказалось, файл 'Update.exe' слепо развертывает любое содержимое папки 'current'. В свою очередь, 'packages' нужно иметь файл 'RELEASES', который вполне может не быть действительным.

В представленном ниже видео Ричард продемонстрировал, как заставив 'Update.exe' выполнить нужную полезную нагрузку, ему удалось получить доступ к оболочке на атакуемом хосте.
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.
Microsoft известно об уязвимости, но компания отказывается ее исправлять, поскольку, по ее мнению, она не является проблемой безопасности.

Microsoft Teams – корпоративная платформа от Microsoft, объединяющая в рабочем пространстве чат, встречи, заметки и вложения. Является альтернативой популярному корпоративному решению Slack. Microsoft Teams входит в пакет Office 365 и распространяется по корпоративной подписке.

Поблагодарили: Dovf, topinant, Юрген

Оффлайн topinant

  • *
  • Сообщений: 19480
  • Пол: Мужской

Уязвимости ОС Windows
« Ответ #68 : 13 Октября 2019, 17:34 »
Помощник по обновлению Windows 10 открывает дверь для хакеров

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

В Windows 10 Update Assistant обнаружена серьёзная уязвимость
В фирменном инструменте Microsoft по обновлению Windows 10, так называемом Windows 10 Update Assistant или «Помощнике по обновлению» в русскоязычной версии, была обнаружена уязвимость в системе безопасности. Она позволяет злоумышленникам исполнять код с администраторскими правами. В документе CVE-2019-1378 компания Microsoft описывает, что злоумышленник может создать учётную запись с полными правами, а также получить доступ к управлению устройством, удалять данные и устанавливать программы.
Уязвимость заключается в методе, с помощью которого  Windows 10 Update Assistant раздаёт разрешения. Она была обнаружена специалистом по безопасности Джимми Бэйном (Jimmy Bayne) и присутствует помощнике обновлений, вне зависимости от установленной версии Windows 10.
Microsoft уже выпустила новую версию Windows 10 Update Assistant, в котором проблема решена, и пользователям рекомендуется установить её как можно скорее.

Оффлайн topinant

  • *
  • Сообщений: 19480
  • Пол: Мужской

Уязвимости ОС Windows
« Ответ #69 : 24 Марта 2020, 09:58 »
Более миллиарда пользователей Windows под угрозой.

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Microsoft предупредила о двух критических уязвимостях, которые вовсю используется хакерами
Компания Microsoft предупредила пользователей операционной системы Windows о двух критических уязвимостях, которые пока не закрыты и в настоящий момент вовсю используются хакерами.
Данные уязвимости присутствуют в Windows 7, 8.1 и всех поддерживаемых версиях Windows 10. Таким образом, под угрозой весь миллиард активных пользователей Windows 10, а также те, кто использует более ранние версии ОС.
Обе уязвимости касаются библиотеки Adobe Type Manager Library, позволяют удалённо запускать код в системе и полностью взять её под контроль. Злоумышленники могут использовать их, заставив пользователя открыть специально составленный документ или просмотреть с помощью функции предпросмотра. По словам Microsoft, уязвимости уже использовались в «ограниченном» количестве целевых атак.
Исправление уязвимостей в настоящий момент готовится компанией и, скорее всего, будет выпущено в рамках планового обновления 14 апреля.
Однако «патч» не будет доступен для обычных пользователей Windows 7. Как подчеркнула  Microsoft, поддержка данной версии ОС прекратилась 14 января 2020 года. Исправление получат только пользователи продлённой платной поддержки  Windows 7 ESU.
Поблагодарили: Манекенщица, Dovf, ALENA, Юрген

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #70 : 29 Марта 2020, 21:19 »
Для уязвимостей нулевого дня в Windows выпущен микропатч
Микропатч будет доставлен автоматически через платформу 0Patch и его можно применить без перезагрузки системы.
До тех пор, пока Microsoft не выпустит исправление для двух уязвимостей нулевого дня, затрагивающих компонент синтаксического анализа во всех поддерживаемых версиях Windows, пользователи могут применить временную защиту в виде микропатча, предотвращающего эксплуатацию.

Проблемы содержатся в библиотеке Adobe Type Manager (atmfd.dll), используемой ОС для обработки шрифтов PostScript Type 1 и OpenType. Их эксплуатация позволяет злоумышленнику удаленно выполнить код с повышенными привилегиями.

В настоящее время микропатч от 0Patch доступен для версий Windows 7 и Windows Server 2008 R2 без расширенной поддержки Extended Security Updates (ESU). В будущем микропатч будет доступен для версий Windows 7 и Windows Server 2008 R2 с расширенной поддержкой, а также для Windows 8.1 и Windows Server 2012. Он будет доставлен автоматически через платформу 0Patch и его можно применить без перезагрузки системы.

В Windows 10 (1709) парсинг шрифтов происходит в изолированном пространстве, затрудняя эксплуатацию. Однако в более ранних версиях данный процесс происходит в ядре, предоставляя злоумышленникам возможность выполнять код с самыми высокими привилегиями. Скорее всего, микропатч не будет доступен для Windows 10, так как риск эксплуатации данных уязвимостей гораздо ниже.

«С данным микропатчем все приложения, использующие Windows GDI для операций со шрифтами будут воспринимать любые шрифты Adobe Type 1 PostScript, как недействительные и недоступные для загрузки», — сообщил соучредитель 0patch Митя Колсек (Mitja Kolsek).

Windows Explorer больше не будет отображать предварительный просмотр файла шрифтов .PFM и .PFB после применения временного исправления. Глифы не будут отображаться в панели предварительного просмотра «Область просмотра» (Preview Pane) в виде миниатюр изображений и в «Области сведений» (Details Pane).

Microsoft предоставила три меры предотвращения эксплуатации уязвимости, каждая из которых имеет свои преимущества и недостатки:

Отключить «Область просмотра» и «Область сведений» в проводнике Windows (работает на всех системах, но не устранит проблему, если открыть документ с классом уязвимых шрифтов).

Отключить службу WebClient (работает на всех системах, но не устранит проблему, если открыть документ с классом уязвимых шрифтов).

Переименовать библиотеку ATMFD.DLL (работает только версиях старше Windows 10, но полностью устраняет проблему).

0Patch также опубликовала видеоролик с демонстрацией работы Windows с микропатчем и без него:
Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Оффлайн Noumad

  • *
  • Сообщений: 4
  • Пол: Мужской

Уязвимости ОС Windows
« Ответ #71 : 16 Июня 2020, 22:54 »
странно, что уязвимости нулевого дня все еще существуют в Windows
Поблагодарили: topinant, Безумный Макс

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #72 : 06 Сентября 2020, 20:42 »
Антивирус Windows 10 может использоваться для загрузки вредоносного ПО
Легитимные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны под термином LOLBIN (living-off-the-land binaries).

В недавнем обновлении Microsoft Defender инструмент командной строки MpCmdRun.exe получил возможность загрузки файлов из удаленного местоположения. Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.

Теперь из-за данного нововведения Microsoft Defender входит в длинный список программ Windows, которыми могут злоупотреблять киберпреступники. Антивирус Windows 10 теперь можно использовать как LOLBIN.

Уязвимость была обнаружена исследователем безопасности Мохаммадом Аскаром (Mohammad Askar) после недавнего обновления инструмента командной строки Защитника Windows.
Цитата
Well, you can download a file from the internet using Windows Defender itself.

In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt

— Askar (@mohammadaskar2) September 2, 2020
Инструмент стал поддерживать новый аргумент -DownloadFile. Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:

MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
Эта функция была добавлена в Microsoft Defender версии 4.18.2007.9 или 4.18.2009.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

При тестировании специалисты BleepingComputer смогли загрузить файл resources.exe, образец программы-вымогателя WastedLocker, использованный в недавней атаке Garmin.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Интересно, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно как другие антивирусные программы обработают опасные файлы.

Таким образом, теперь администраторам Windows нужно следить за дополнительным исполняемым файлом, чтобы он не использовался в злонамеренных целях.
Поблагодарили: Nik, Юрген, topinant, burnus, Безумный Макс

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #73 : 23 Июля 2021, 21:21 »
Новая уязвимость Windows 10 и Windows 11 позволяет любому пользователю получить права администратора
Исследователь безопасности обнаружил, что пользователи с низкими привилегиями могут получать доступ к чувствительным файлам базы данных системного реестра. Реестр Windows 10 и Windows 11 выступает в роли репозитория конфигураций операционной системы и содержит хешированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и многое другое.

База данных реестра разбита на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые располагаются в папке по пути: C:\Windows\system32\config.

Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, то их просмотр должен быть заблокирован для обычных пользователей с низкими привилегиями.

Это в особенности касается файла диспетчера учетных записей безопасности (Security Account Manager, SAM), который содержит хешированные пароли всех пользователей в системе. Данную информацию злоумышленники могут использовать для подтверждения своей личности.

Файл SAM доступен для просмотра любому пользователю
19 июля 2021 года исследователь безопасности Йонас Ликкегаард (Jonas Lykkegaard) связался с порталом BleepingComputer и сообщил о своей находке. Оказалось, что  файлы реестра Windows 10 и Windows 11, связанные с диспетчером учетных записей безопасности (SAM) и всеми другими базами данных реестра, доступны для группы «Пользователи» с низкими привилегиями на устройстве.

Эта информация подтвердилась при тестировании на полностью обновленной машине под управлением Windows 10, версия 20H2.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

С такими низкими разрешениями на файлы, злоумышленник с ограниченными привилегиями на устройстве может извлечь NTLM-хеш паролей всех учетных записей на устройстве и использовать эти хэши в атаках для получения повышенных привилегий.

Поскольку файлы реестра, такие как файл SAM, постоянно используются операционной системой, то при попытке доступа к файлу вы получите сообщение о нарушении прав доступа, поскольку файлы открываются и блокируются другой программой.
гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Однако, Ликкегаард утверждает, что получить доступ к файлам реестра можно через теневые тома Windows без нарушения прав доступа. Например, злоумышленники могут использовать следующий путь пространства имен устройства Win32 теневых копий томов для доступа к SAM-файлу любого пользователя на компьютере:
\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
Используя эти низкие и некорректные файловые разрешения, злоумышленники смогут легко украсть NTLM-хеш пароля учетной записи с повышенными правами, чтобы получить более высокие привилегии.

Атака SeriousSAM (HiveNightmare) продемонстрирована в видео исследователя безопасности Бенджамина Делпи (Benjamin Delpy). Он является создателем программы для извлечения учетных данных Mimikatz, которая использовалась для получения повышенных привилегий.
(открыть/скрыть)

По мнению Делпи применение данной уязвимости не ограничивается кражей NTLM-хешей и повышением привилегий, ее также можно использовать для проведения атак типа «Silver Ticket».

Неясно, по какой причина Microsoft изменила разрешения в реестре, чтобы обычные пользователи могли просматривать чувствительные файлы.

Эксперты по безопасности Уилл Дорманн (Will Dormann) и Джефф МакДжанкин (Jeff McJunkin) отметили, что Microsoft представила изменения разрешений в Windows 10, версия 1809.

Дорманн сообщил, что при чистой установке Windows 10, версия 20H2 низкие файловые разрешения не обнаружены.

Похоже, что Microsoft устранила проблему с разрешениями при выполнении чистой установки системы, но не исправила проблему при обновлении до новых версий.

В опубликованном 20 июля бюллетене безопасности Microsoft подтвердила наличие данной уязвимости «нулевого дня», получившей идентификатор CVE-2021-36934 (SeriousSAM, HiveNightmare). Компания сообщает:

Цитата
Мы расследуем ситуацию и при необходимости предпримем соответствующие меры для защиты наших клиентов.

Редмонд рекомендует изменить разрешения для папки C:\Windows\system32\config, чтобы снизить риск эксплуатации уязвимости.
Поблагодарили: Безумный Макс, Dovf

Оффлайн ALENA

  • Претензии в свой адрес принимаю... один раз в неделю... вчера!
  • *
  • Сообщений: 79051
  • Пол: Женский

Уязвимости ОС Windows
« Ответ #74 : 23 Ноября 2021, 20:05 »
Новая уязвимость Windows позволяет злоумышленникам получать права администратора
Новый эксплойт позволяет получать права администратора с использованием пока не исправленной уязвимости на устройствах Windows, включая Windows 11 и Windows Server 2022 с последними обновлениями.
Исследователь Абдельхамид Насери (Abdelhamid Naceri) вчера опубликовал в сервисе GitHub эксплойт, который позволяет получать права администратора на устройствах Windows с использованием уязвимости, которая пока не исправлена. Эксплойт работает на всех поддерживаемых клиентских и серверных версиях Windows, включая Windows 11 и Windows Server 2022 с установленными последними обновлениями от ноября 2021 года.

Данный эксплойт оказался работоспособным с тестовой системе под управлением Windows 10, версия 21H2. При локальном исполнении в контексте стандартной учетной записи, эксплойт позволил успешно получить повышенные привилегии. Портал Bleeping Computer также подтверждает информацию о работоспособности эксплойта.
Во Вторник Патчей (Patch Tuesday), 9 ноября 2021 года, компания Microsoft исправила еще одну уязвимость повышения привилегий в установщике Windows, обнаруженную Насери, с идентификатором CVE-2021-41379.
При анализе CVE-2021-41379 Насери обнаружил еще один вариант эксплойта, который не был корректно устранен. Новый вариант, выложенный исследователем в открытый доступ оказался «более мощным, чем исходный». Сам ИБ-специалист описывает доказательство концепции следующим образом:

Я убедился, что доказательство концепции работает чрезвычайно надежно при каждой попытке и не требует специальной подготовки. Доказательство концепции перезаписывает DACL службы повышения прав Microsoft Edge, копирует себя в расположение службы и выполняет ее, чтобы получить повышенные привилегии.

Данный метод работает не при каждой установке, потому что установщики Windows Server 2016 и Windows Server 2019 могут быть лишены службы повышения привилегий. Я намеренно оставил код, который отвечает за открытие файла, чтобы любой файл, указанный в первом аргументе, принимался при условии, что учетная запись SYSTEM имеет к нему доступ, и файл не используется. Таким образом, вы можете самостоятельно повышать права доступа на своих устройствах.

Запуск стандартных ограниченных учетных записей вместо учетных записей с административными привилегиями считается хорошей практикой безопасности, поскольку данная мера позволяет ограничить возможности успешных эксплойтов и атак в системе. Насери отметил, что данный эксплойт не затрагивает политика, которая может запрещать обычным пользователям выполнять операции MSI.

Администраторам и пользователям Windows следует дождаться патча, поскольку «любая попытка исправить двоичный файл напрямую приведет к потери работоспособности установщика Windows».

Насери намеренно не стал сообщать Microsoft об уязвимости перед публикацией эксплойта из-за того, что Microsoft уменьшила вознаграждения за обнаружение уязвимости.
Поблагодарили: Безумный Макс, Юрген, kostik