Vulnerabilidade permite elevação de privilégios no Windows 10

10/09/2018 mindsecblog Notícias 2

Vulnerabilidade permite elevação de privilégios no Windows 10. Uma vulnerabilidade no gerenciador de tarefas do Microsoft Windows pode permitir que um usuário local obtenha privilégios elevados (SYSTEM).

A vulnerabilidade de escalonamento de privilégios está na interface ALPC (Advanced Local Procedure Call) do gerenciador de tarefas e pode permitir que um usuário local obtenha privilégios SYSTEM, de acordo com o alerta de 27 de agosto do Cert.

“O agendador de tarefas do Microsoft Windows contém uma vulnerabilidade no tratamento do ALPC, que pode permitir que um usuário local obtenha privilégios de SYSTEM”, disse o comunicado. “Confirmamos que o código de exploração público funciona em sistemas Windows 10 de 64 bits e Windows Server 2016“.

Não há atualmente nenhuma solução prática para resolver a vulnerabilidade.

Justin Jett, diretor de Auditoria e Conformidade da Plixer disse à SC Media que a vulnerabilidade sinaliza a necessidade de ser mais vigilante em relação ao comportamento dos usuários da rede.

“O PoC divulgada pelo ‘pesquisador’ SandboxEscaper no Twitter oferece aos atores maliciosos a alavancagem necessária para invadir as organizações para roubar informações valiosas“, disse Jett. “A análise de tráfego de rede deve continuar a ser usada para detectar tráfego anômalo na rede e identificar onde os usuários estão se comportando de uma maneira que historicamente não fazem”.

Jett acrescentou que tal comportamento poderia ser um forte indicador de que a falha já pode ter sido ativamente explorada. Em última análise, ele disse, terá que esperar pela resposta da Microsoft à vulnerabilidade, mas ressaltou que, se esperarem até a liberação agendada para 11 de setembro, os atacantes terão uma janela de duas semanas para explorar a vulnerabilidade.

Descrição

A API SchRpcSetSecurity do agendador de tarefas do Microsoft Windows contém uma vulnerabilidade na manipulação do ALPC, que pode permitir que um usuário autenticado sobrescreva o conteúdo de um arquivo que deve ser protegido pelas ACLs do sistema de arquivos. Isso pode ser aproveitado para obter privilégios SYSTEM. O Cert confirmou que o código de exploração público funciona em sistemas Windows 10 de 64 bits e Windows Server 2016. Também confirmou a compatibilidade com o Windows 10 de 32 bits com pequenas modificações no código de exploração público. A compatibilidade com outras versões do Windows é possível com outras modificações.

Impacto

Um usuário local autenticado pode conseguir privilégios elevados (SYSTEM).

Solução

O CERT / CC atualmente não tem conhecimento de uma solução prática para esse problema, mas recomenda considerar a seguinte solução alternativa:

Implante regras de detecção do Microsoft Sysmon, Kevin Beaumont fornece orientações para a criação de regras para detectar a exploração dessa vulnerabilidade.

Definir ACLs no diretório C: \ Windows \ Tasks

Cuidado: essa mitigação não foi aprovada pela Microsoft. No entanto, o Cert afirma que nos testes, ele bloqueia as explorações dessa vulnerabilidade. Ele também parece permitir que as tarefas agendadas continuem sendo executadas, e os usuários podem continuar a criar novas tarefas agendadas, conforme necessário. No entanto, essa alteração bloqueará as coisas criadas pela interface do agendador de tarefas legado. Isso pode incluir coisas como o SCCM e as atualizações associadas do SCEP. Por isto, certifique-se de ter testado essa mitigação para garantir que ela não cause consequências inaceitáveis em seu ambiente.

Para aplicar essa mitigação, segundo o Cert basta executar os seguintes comandos em um prompt de privilégios elevados:

icacls c: \ windows \ tasks / remove: g “Usuários Autenticados”
icacls c: \ windows \ tarefas / negar sistema: (OI) (CI) (WD, WDAC)

O Cert observa ainda que quando uma correção for disponibilizada para essa vulnerabilidade, essas alterações de mitigação devem ser desfeitas.

Fonte: SC Magazine & Cert

Veja também: