Atacuri cibernetice bazate pe IA: Cum să detectați, să preveniți și să vă apărați împotriva amenințărilor inteligente

Citește acum
Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.
Acasă/ Blog / Escaladarea privilegiilor către utilizatorul sistemului pe Windows 10...
Gestionarea Endpoint

Escaladarea privilegiilor către utilizatorul sistemului pe Windows 10 utilizând CVE-2019-1405 și CVE-2019-1322

de OPSWAT
Împărtășește această postare

Autor: Vuong Doan Minh, inginer Software , OPSWAT

Introducere

Escaladarea privilegiilor este un tip de exploatare care oferă actorilor rău intenționați drepturi de acces sporite la resurse protejate într-o aplicație sau într-un sistem de operare.

Descrierea exploatării

CVE-2019-1405 poate fi utilizat pentru a ridica privilegiile oricărui utilizator local la utilizator de serviciu local.

CVE-2019-1322 poate fi utilizat pentru a ridica privilegiile utilizatorului local de servicii la utilizatorul local de sistem.

Prin urmare, combinarea ambelor CVE-uri într-o singură exploatare permite ridicarea privilegiilor oricărui utilizator local la un utilizator de sistem.

Aceste vulnerabilități afectează computerele care rulează Microsoft Windows 10 1803 și versiunile ulterioare care nu au fost actualizate la cel mai recent patch sau la patch-ul de actualizare de securitate din 12 noiembrie 2019 [1][2].

Efect potențial

Este foarte periculos pentru organizații, deoarece există multe modalități de a obține acces la orice mașină din cadrul unei organizații. De exemplu, într-o organizație care utilizează un controler de domeniu, orice utilizator se poate conecta la orice mașină din domeniu dacă are acces fizic la aceasta. El poate accesa doar datele limitate la contul său de utilizator de pe mașină. Dar prin utilizarea acestor vulnerabilități, el poate crea procese ridicate pentru:

  • Adăugați noi conturi de utilizator la grupul Administrare pentru a accesa resurse confidențiale.
  • Instalarea de backdoors și programe malițioase pe computerul victimei pentru exploatări ulterioare.
  • Vizualizați, modificați sau ștergeți orice date.

Cum vă ajută OPSWAT să detectați vulnerabilitățile

MetaDefender Access poate detecta dispozitivele care prezintă aceste vulnerabilități și poate oferi instrucțiuni de remediere.

După instalarea MetaDefender Endpoint, acesta va detecta vulnerabilitățile de pe punctele finale și va raporta către MetaDefender Access. MetaDefender Access va analiza datele și va notifica utilizatorii finali dacă se găsește vreo vulnerabilitate, împreună cu instrucțiuni utile pentru remedierea celor detectate. De asemenea, administratorii pot gestiona toate dispozitivele vulnerabile prin intermediul consolei web MetaDefender Access.

MetaDefender Core cu tehnologia de file-based vulnerability assessment poate detecta vulnerabilități în fișierele binare de pe punctele finale. MetaDefender Core oferă API-uri care pot fi utilizate pentru integrarea cu alte servicii de scanare a fișierelor. De exemplu: scanarea fișierelor care intră și ies din rețeaua organizației dumneavoastră.

  • Dacă fișierul vulnerabil se află printre fișierele de sistem, atunci este un semn că ar trebui să vă actualizați sistemul.
  • Dacă fișierul vulnerabil este un program software, atunci ar trebui să actualizați software-ul sau să luați în considerare dezinstalarea temporară a software-ului.
  • Dacă un program de instalare este vulnerabil, atunci nu trebuie să îl instalați pe nicio mașină din organizație.
  • Dacă un fișier de bibliotecă din proiectul dvs. este vulnerabil, atunci ar trebui să găsiți cea mai recentă versiune corectată a bibliotecii sau să încetați să o utilizați dacă nu există o corecție pentru vulnerabilități.

Cum să exploatați?

Codul de exploatare pentru această vulnerabilitate poate fi găsit la https://www.exploit-db.com/exploits/47684, ca un modul al cadrului Metasploit al Rapid7 [3].

Exploit demo:

  • Mașina atacatorului: Kali Linux.
  • Mașina victimă: Windows 10 1803 x64
  • Demonstrația presupune că atacatorul are deja acces la computerul victimei.

Remediere

Vă recomandăm insistent să păstrați întotdeauna Windows-ul actualizat, în special actualizările legate de securitate (KB); sau cel puțin să aplicați patch-urile de securitate până în noiembrie 2019.

Referințe

[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability". Disponibil: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.

[2] "CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability". Disponibil: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.

[3] "Metasploit of Rapid7". Disponibil: https://www.metasploit.com/

Tags:

Ultimele postări

Înscrieți-vă la OPSWAT Newsletter

Obțineți cele mai recente actualizări ale companiei OPSWAT împreună cu informații despre evenimente și știrile care determină progresul industriei.
Înscrie-mă

Urmați-ne pe Social Media

Urmăriți OPSWAT pe LinkedIn, Facebook, Twitter și YouTube pentru mai multe informații!

Rămâneți la curent cu OPSWAT!

Înscrieți-vă astăzi pentru a primi cele mai recente actualizări ale companiei, povești, informații despre evenimente și multe altele.
Abonează-te la