22.05.2019 11:38
pomd 19 11100 Источник


Независимая ИБ-исследовательница под ником SandboxEscaper опубликовала эксплойт к актуальной версии Windows 10. Уязвимость Планировщика заданий (Task Scheduler) позволяет взломщику получить дополнительные права в системе и открыть файлы с уровнем доступа SYSTEM.

Новость появилась практически одновременно с выпуском очередного пакета обновлений Windows 10. Эксперты CERT/CC подтвердили работоспособность эксплойта на 64- и 32-битных версиях систем с последними патчами, а также Windows Server 2016 и 2019. Пользователей Windows 7 и 8 угроза не коснулась.

Проблема оказалась связана с обратной совместимостью Планировщика заданий, конкретно — с механизмом обработки задач в формате JOB, который использовался еще в Windows XP. Эти файлы разграничивают права пользователей через так называемые списки избирательного управления доступом (discretionary access control lists, DACL). Как выяснилось, в отсутствие этих элементов система снимает ограничения, позволяя любому пользователю работать с данными.


За последний год это уже пятый эксплойт за авторством SandboxEscaper. В августе 2018 года она опубликовала еще одну уязвимость Task Scheduler — ошибка интерфейса ALPC позволяла обычному пользователю получить администраторские привилегии. Далее, в октябре, девушка продемонстировала способ подменять легитимные DLL-библиотеки приложений на скомпрометированные. Третий и четвертый эксплойты, позволявшие читать любые файлы и переписывать данные в уязвимой системе, были опубликованы в декабре.

По словам SandboxEscaper, она обнаружила еще три 0-day для несанкционированного повышения прав и одну уязвимость для выхода из песочницы. Эти баги предлагаются к продаже любым «не-западным» заказчикам. Стоимость каждой бреши — 60 тыс. в неназванной валюте.

Комментарии (19)


  1. nerudo
    22.05.2019 14:59
    #20185402
    +7

    > на 64- и 86-битных версиях

    Даешь 117-битную версию!


  1. SergeyMax
    22.05.2019 15:14
    #20185480

    А чем уязвимость 0-day отличается от не-0-day?


    1. dreesh
      22.05.2019 15:21
      #20185516

      По 0-day уязвимости информация по ее эксплуатации доступна ограниченному кругу лиц и те кто хочет/может ее закрыть в этот круг не входят.


      1. SergeyMax
        22.05.2019 15:24
        #20185530

        В смысле? Пример эксплуатации же выложен на github.


        1. Sioln
          22.05.2019 15:29
          #20185558

          Таким образом, она перестала быть 0-day.


          1. SergeyMax
            22.05.2019 15:29
            #20185560

            Но ведь так можно сказать про совершенно любую уязвимость.


            1. Sioln
              22.05.2019 15:37
              #20185598

              Уязвимость может быть в баг-трекере и, тем не менее, версия продукта будет выпущена. Тогда это не 0-day.


              1. imm
                22.05.2019 16:37
                #20185962

                Тут все просто — не закрыта патчем? — значит 0-day.
                Собственно, на момент обнаружения, любая уязвимость является 0-day.


                1. dreesh
                  22.05.2019 16:58
                  #20186070

                  Собственно, на момент обнаружения, любая уязвимость является 0-day.

                  Название скорее указывает на то сколько времени прошло с момента когда ответственные за исправление получили информацию по уязвимости.


        1. dreesh
          22.05.2019 15:29
          #20185562

          По словам SandboxEscaper, она обнаружила еще три 0-day для несанкционированного повышения прав и одну уязвимость для выхода из песочницы. Эти баги предлагаются к продаже любым «не-западным» заказчикам. Стоимость каждой бреши — 60 тыс. в неназванной валюте.

          По этим уязвимостям информации в публичном доступе нет, поэтому они так и называются.


    1. vanxant
      22.05.2019 16:35
      #20185950
      +2

      У разработчиков есть 0 дней на выпуск заплатки. Т.е. она обнаружена черношляпниками и эксплойт готов.


  1. maxzhurkin
    22.05.2019 16:17
    #20185858
    +1

    С учётом того, что новости читают не только вскоре после публикации, заголовок что-то вроде «В свежей Windows 10 (May 2019 Update) спустя X часов после релиза обнаружена уязвимость нулевого дня» был бы более уместен, IMHO


    1. pnetmon
      22.05.2019 17:23
      #20186222
      +1

      О 10 вышла
      https://www.microsoft.com/ru-ru/software-download/windows10
      https://blogs.windows.com/windowsexperience/2019/05/21/how-to-get-the-windows-10-may-2019-update/


      1. maxzhurkin
        22.05.2019 19:20
        #20186800

        ?


        1. pnetmon
          22.05.2019 19:43
          #20186886

          Просто на данное время нету на habre публикаций о этом событии.


          1. maxzhurkin
            22.05.2019 19:49
            #20186902

            К счастью, на Хабре нет публикаций и о многих других событиях; например, я согласен с автором этой статьи в том ключе, что уязвимость — достаточный повод для публикации, а ежеполугодный выход обновления — нет


  1. nanshakov
    22.05.2019 16:49
    #20186014

    как то очень часто находят эксплоиты через планировщик. могли бы и не поддерживать JOB формат


    1. pomd Автор
      22.05.2019 16:53
      #20186042

      учитывая, как люди сражаются за право работать на XP, так себе идея


      1. firedragon
        22.05.2019 17:25
        #20186228

        Пусть себе сражаются. Просто ограничивать использование. Это в общем то логично. Либо пусть заводят специально обученного человека. Который вертит в песочнице эту систему.

        Что же до шидулера, то запуск с системными привелегиями через команду at был еще с 4 версии NT. Так что баг близок к фиче.