מחבר: וונג דואן מין, Software מְהַנדֵס, OPSWAT
מָבוֹא
הסלמת הרשאות היא סוג של ניצול לרעה המספק לגורמים זדוניים הרשאות גישה מוגברות למשאבים מוגנים ביישום או במערכת הפעלה.
תיאור הניצול
ניתן להשתמש ב-CVE-2019-1405 כדי להעלות את הרשאותיו של כל משתמש מקומי למשתמש שירות מקומי.
ניתן להשתמש ב-CVE-2019-1322 כדי להעלות את הרשאות משתמש השירות המקומי למשתמש המערכת המקומי.
לכן, שילוב שני אירועי ה-CVE לניצול אחד מאפשר העלאת הרשאות של כל משתמש מקומי למשתמש מערכת.
פגיעויות אלו משפיעות על מחשבים המריצים את Microsoft Windows 10 1803 ומעלה שלא עודכנו לעדכון האחרון או לעדכון האבטחה מ-12 בנובמבר 2019 [1][2].
השפעה פוטנציאלית
זה מסוכן מאוד לארגונים מכיוון שישנן דרכים רבות לקבל גישה לכל מכונה בתוך ארגון. לדוגמה, בארגון המשתמש בבקר תחום, כל משתמש יכול להתחבר לכל מכונה בתחום אם יש לו גישה פיזית אליה. הוא יכול לגשת רק לנתונים המוגבלים לחשבון המשתמש שלו במחשב. אבל באמצעות פגיעויות אלו, הוא יכול ליצור תהליכים מוגבלים כדי:
- הוסף חשבונות משתמש חדשים לקבוצת הניהול כדי לגשת למשאבים סודיים.
- התקנת דלתות אחוריות ותוכנות זדוניות על מחשב הקורבן לצורך ניצול מאוחר יותר.
- צפה, שנה או מחק כל מידע.
אֵיך OPSWAT לעזור לך לזהות את הפגיעויות
MetaDefender Access יכול לזהות מכשירים שיש בהם את הפגיעויות ולספק הוראות תיקון.
לאחר התקנת MetaDefender Endpoint , הוא יזהה פגיעויות בנקודות הקצה וידווח ל- MetaDefender גִישָׁה. MetaDefender Access ינתח את הנתונים ויודיע למשתמשי הקצה אם תימצא פגיעות כלשהן יחד עם הוראות מועילות לתיקון הפגיעות שזוהו. מנהלי מערכת יכולים גם לנהל את כל המכשירים הפגיעים באמצעות MetaDefender גישה לקונסולת האינטרנט.
Core MetaDefender עם file-based vulnerability assessment טכנולוגיה יכולה לזהות פגיעויות בקבצים בינאריים בנקודות קצה. MetaDefender Core מספק ממשקי API בהם ניתן להשתמש כדי להשתלב עם שירותים אחרים לסריקת קבצים. לדוגמה: סריקת קבצים הנכנסים ויוצאים מרשת הארגון שלך.
- אם הקובץ הפגיע נמצא בין קבצי המערכת, זה סימן שעליך לעדכן את המערכת שלך.
- אם הקובץ הפגיע הוא קבצי תוכנה, עליך לעדכן את התוכנה או לשקול להסיר את ההתקנה של התוכנה באופן זמני.
- אם מתקין פגיע, אסור להתקין אותו באף מכונה בארגון שלך.
- אם קובץ ספרייה בפרויקט שלך פגיע, עליך למצוא את הגרסה המעודכנת ביותר של הספרייה או להפסיק להשתמש בה אם אין תיקון לפגיעויות.
איך לנצל?
ניתן למצוא את קוד הניצול עבור פגיעות זו בכתובת https://www.exploit-db.com/exploits/47684 , כמודול של מסגרת Metasploit של Rapid7 [3].
הדגמת ניצול :
- מכונת תוקף: קאלי לינוקס.
- מכונת הקורבן: Windows 10 1803 x64
- ההדגמה מניחה שלתוקף כבר יש גישה למחשב של הקורבן.
תיקון
מומלץ מאוד לעדכן את Windows תמיד, במיוחד עדכונים הקשורים לאבטחה (KB); או לפחות להתקין תיקוני אבטחה עד נובמבר 2019.
הפניות
[1] "CVE-2019-1405 | פגיעות של העלאת הרשאות בשירות UPnP של Windows". זמין: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405 .
[2] "CVE-2019-1322 | פגיעות של העלאת הרשאות ב-Microsoft Windows". זמין: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322 .
[3] "Metasploit של Rapid7". זמין: https://www.metasploit.com/
