Найден способ подменить относительный идентификатор RID и повысить привилегии в Windows - «Новости»
Яндекс представил ИИ-архитектуру TabM для работы с табличными данными - «Новости мира Интернет»
Яндекс представил ИИ-архитектуру TabM для работы с табличными данными - «Новости мира Интернет»
Microsoft вернула удобный перенос данных между ПК в Windows 11 - «Новости мира Интернет»
Microsoft вернула удобный перенос данных между ПК в Windows 11 - «Новости мира Интернет»
Инженер создал чехол для iPhone, который превращает Lightning в USB-C - «Новости мира Интернет»
Инженер создал чехол для iPhone, который превращает Lightning в USB-C - «Новости мира Интернет»
Figma открыла доступ к генеративному ИИ для создания интерфейсов без кода - «Новости мира Интернет»
Figma открыла доступ к генеративному ИИ для создания интерфейсов без кода - «Новости мира Интернет»
Microsoft открыла регистрацию на бесплатный год обновлений безопасности для Windows 10 - «Новости сети»
Microsoft открыла регистрацию на бесплатный год обновлений безопасности для Windows 10 - «Новости сети»
Их заменил ИИ: ведущие технологические компании уволили более 100 000 специалистов с начала года - «Новости сети»
Их заменил ИИ: ведущие технологические компании уволили более 100 000 специалистов с начала года - «Новости сети»
«Парадокс успеха»: глава Microsoft попытался успокоить сотрудников после новой волны увольнений - «Новости сети»
«Парадокс успеха»: глава Microsoft попытался успокоить сотрудников после новой волны увольнений - «Новости сети»
Intel пригрозила бросить освоение передового техпроцесса 14A, если на него не найдётся заказчиков - «Новости сети»
Intel пригрозила бросить освоение передового техпроцесса 14A, если на него не найдётся заказчиков - «Новости сети»
Анонсированы смартфоны Realme 15 и 15 Pro с улучшенными камерами и чипами Snapdragon 7 Gen 4 и Dimensity 7300+ - «Новости сети»
Анонсированы смартфоны Realme 15 и 15 Pro с улучшенными камерами и чипами Snapdragon 7 Gen 4 и Dimensity 7300+ - «Новости сети»
Новая ролевая модель в Вебмастере — «Блог для вебмастеров»
Новая ролевая модель в Вебмастере — «Блог для вебмастеров»
Новости мира Интернет » Новости » Найден способ подменить относительный идентификатор RID и повысить привилегии в Windows - «Новости»

Специалист компании CSL Себастьян Кастро (Sebastian Castro) нашел способ подменять относительный идентификатор (Relative Identifier, RID) в Windows, что позволяет получить права админа и добиться устойчивого присутствия в системе.


Интересно, что впервые об этой технике стало известно еще в декабре 2017 года, однако, несмотря на легкость эксплуатации и всю серьезность проблемы, эта новость осталась никем незамеченной. В частности, специалист выступал с докладом на таких мероприятиях, как Sec-T, RomHack, и DerbyCon.




Также Кастро описал проблему в своем блоге и, по его словам, до этого в сети не было документации об этом баге. Впрочем, Кастро уверен, что о найденной им проблеме известно далеко не только специалистам CSL.


RID — это уникальное порядковое число, присвоенное учетной записи (пользователя, компьютера или группы) уполномоченным центром SA. Фактически RID добавляется в конец SID (Security Identifier, SID). Так, RID учетной записи администратора всегда имеет значение 500, а RID для учетной записи гостя имеет значение 501.





Кастро обнаружил, что модифицировав ключи реестра, в которых хранится информация об аккаунтах Windows, можно изменить присвоенный учетной записи RID, выдав аккаунту другой идентификатор и другие права. Подобная техника может быть крайне полезна хакерам, которые уже проникли в систему и теперь пытаются повысить свои привилегии. Подмена RID позволит выдать бэкдору права SYSTEM и надежно закрепиться в системе жертвы, ведь изменения в ключах реестра сохранятся и после перезагрузки.


Проблеме подвержены множество версий Windows от XP до 10, а также от Server 2003 до Server 2016. Кастро отмечает, что заметить такую атаку может быть весьма сложно, ведь осуществить ее можно при помощи штатных ресурсов ОС, не привлекая внимания жертвы и защитных механизмов. В то же время специалист уверен, что криминалисты с легкостью обнаружит такую подмену (если будут знать, где искать), ведь если SID гостевого аккаунта вдруг заканчивается на 500, это верный признак того, что кто-то «пошаманил» с реестром.





Специалисты CSL уже подготовили модуль для Metasploit, автоматизирующий такие атаки (разумеется, для тестовых целей).


Кастро рассказывает, что разработчиков Microsoft давно уведомили о проблеме, однако специалисты так и не получили никакого ответа, то есть уязвимость пока не исправлена. Нужно сказать, что сам исследователь связывался со многими аналитиками малвари и узнавал у них, не пользуются ли какие-либо вредоносы данной техникой, но пока никто не обнаруживал малварь, подменяющую RID.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалист компании CSL Себастьян Кастро (Sebastian Castro) нашел способ подменять относительный идентификатор (Relative Identifier, RID) в Windows, что позволяет получить права админа и добиться устойчивого присутствия в системе. Интересно, что впервые об этой технике стало известно еще в декабре 2017 года, однако, несмотря на легкость эксплуатации и всю серьезность проблемы, эта новость осталась никем незамеченной. В частности, специалист выступал с докладом на таких мероприятиях, как Sec-T, RomHack, и DerbyCon. Также Кастро описал проблему в своем блоге и, по его словам, до этого в сети не было документации об этом баге. Впрочем, Кастро уверен, что о найденной им проблеме известно далеко не только специалистам CSL. RID — это уникальное порядковое число, присвоенное учетной записи (пользователя, компьютера или группы) уполномоченным центром SA. Фактически RID добавляется в конец SID (Security Identifier, SID). Так, RID учетной записи администратора всегда имеет значение 500, а RID для учетной записи гостя имеет значение 501. Кастро обнаружил, что модифицировав ключи реестра, в которых хранится информация об аккаунтах Windows, можно изменить присвоенный учетной записи RID, выдав аккаунту другой идентификатор и другие права. Подобная техника может быть крайне полезна хакерам, которые уже проникли в систему и теперь пытаются повысить свои привилегии. Подмена RID позволит выдать бэкдору права SYSTEM и надежно закрепиться в системе жертвы, ведь изменения в ключах реестра сохранятся и после перезагрузки. Проблеме подвержены множество версий Windows от XP до 10, а также от Server 2003 до Server 2016. Кастро отмечает, что заметить такую атаку может быть весьма сложно, ведь осуществить ее можно при помощи штатных ресурсов ОС, не привлекая внимания жертвы и защитных механизмов. В то же время специалист уверен, что криминалисты с легкостью обнаружит такую подмену (если будут знать, где искать), ведь если SID гостевого аккаунта вдруг заканчивается на 500, это верный признак того, что кто-то «пошаманил» с реестром. Специалисты CSL уже подготовили модуль для Metasploit, автоматизирующий такие атаки (разумеется, для тестовых целей). Кастро рассказывает, что разработчиков Microsoft давно уведомили о проблеме, однако специалисты так и не получили никакого ответа, то есть уязвимость пока не исправлена. Нужно сказать, что сам исследователь связывался со многими аналитиками малвари и узнавал у них, не пользуются ли какие-либо вредоносы данной техникой, но пока никто не обнаруживал малварь, подменяющую RID. Источник новости - google.com

0

Смотрите также

А что там на главной? )))



Комментарии )))