Специалист по безопасности компании CSL Себастьян Кастро (Sebastian Castro) из Колумбии обнаружил в Windows уязвимость, которая позволяет получить любому пользователю права администратора и защитить внедрённый вирус от удаления. Microsoft не может устранить эту уязвимость с декабря 2017 года.
Характер уязвимости
Атака основана на изменении ключей реестра Windows, что позволяет присвоить учётной записи любой относительный идентификатор (Relative Identifier, RID). Он добавляется в конце уникального номера каждой учётной записи. Например, RID 500 принадлежит аккаунту администратора, а 501 — гостя.
Манипулируя ключами реестра, можно переназначить RID для учётной записи и повысить её привилегии вплоть до SYSTEM.
Атаке подвержены локальные компьютеры и устройства, открытые для сетевого доступа без пароля. Так как используются механизмы самой ОС, антивирусы, скорее всего, не засекут подобный эксплойт. А в логах системы все операции будут фиксироваться как пользовательские.
Меры безопасности
Пока адекватных механизмов защиты нет. Эксперт протестировал Windows XP, 8.1, 10 и Server 2003, и на всех обнаружилась эта уязвимость.
Впервые баг был описан ещё в декабре 2017 года, но до сих пор не исправлен. При этом атак с использованием описанного метода не зафиксировано.
Себастьян Кастро опубликовал код вредоносного модуля на GitHub.
В октябре 2018 года в браузере Microsoft Edge специалисты обнаружили уязвимость, которая позволяла запускать на компьютере любой вредоносный код.
Источник: