ИБ-эксперт нашел новую 0-day уязвимость в большинстве версий Windows 10, с помощью которой киберпреступники могут создавать файлы в закрытых директориях операционной системы.
Эксплуатация найденной уязвимости, как отмечает Джонас Ликкегаард, крайне проста, поэтому хакеры могут применять ее для реализации последующей атаки после изначального заражения целевого хоста. Дополнительно отмечается, что эта уязвимость для Windows 10 будет актуальна только в том случае, если на устройстве включена функция Hyper-V.
Специалист по кибербезопасности Джонас Ликкегаард опубликовал на прошлой неделе твит, в котором показано, как непривилегированный пользователь может создать произвольный файл в system32, папке с ограниченным доступом, содержащей важные файлы для операционной системы Windows и установленного программного обеспечения.
Это возможно при работающем Hyper-V (параметр отключен по умолчанию, но присутствует в Windows 10 Pro, Enterprise и Education), что ограничивает для киберпреступников диапазон возможных целей. Hyper-V – это решение Microsoft для создания виртуальных машин (ВМ) в Windows 10. В зависимости от физических ресурсов, доступных на устройстве, решение может запускать как минимум три виртуальных машины.
При наличии достаточных аппаратных ресурсов Hyper-V может запускать большие виртуальные машины с 32 процессорами и 512 ГБ оперативной памяти. Обычные пользователи редко пользуются подобным функционалом, но зачастую запускают Windows Sandbox – изолированную среду (песочницу) для выполнения программ или загрузки веб-сайтов, которым не доверяют, без риска заразить обычную операционную систему Windows.
Корпорация Microsoft представила Windows Sandbox с обновлением May 2019 Update в Windows 10 версии 1903. Включение этой функции автоматически запускает Hyper-V:
Чтобы продемонстрировать уязвимость, Джонас Ликкегаард создал в \system32 пустой файл с именем phoneinfo.dll. Для внесения любых изменений в эту директорию требуются повышенные привилегии, но эти ограничения не имеют значения, когда Hyper-V активен:
Поскольку создатель файла также является его владельцем, киберпреступник может использовать данную уязвимость для размещения внутри вредоносного кода, который при необходимости будет выполняться с повышенными привилегиями.
Аналитик уязвимостей CERT Coordination Center Уилл Дорманн подтвердил, что проблема существует и что ее использование буквально не потребует хоть каких-то усилий со стороны хакера на хосте. Джонас Ликкегаард дополнительно сообщил, что уязвимым элементом является storvsp.sys (Storage VSP – Virtualization Service Provider) – серверный компонент Hyper-V.