Autor: Vuong Doan Minh, Engenheiro Software , OPSWAT
Introdução
A escalada de privilégios é um tipo de exploração que fornece aos agentes maliciosos direitos de acesso elevados a recursos protegidos numa aplicação ou sistema operativo.
Descrição da exploração
O CVE-2019-1405 pode ser utilizado para elevar os privilégios de qualquer utilizador local para utilizador de serviço local.
O CVE-2019-1322 pode ser utilizado para elevar os privilégios do utilizador do serviço local para o utilizador do sistema local.
Por conseguinte, a combinação de ambos os CVE numa única exploração permite a elevação de privilégios de qualquer utilizador local para um utilizador do sistema.
Estas vulnerabilidades afectam os computadores com o Microsoft Windows 10 1803 e superior que não tenham sido actualizados para o patch mais recente ou para o patch de atualização de segurança de 12 de novembro de 2019 [1][2].
Efeito potencial
É muito perigoso para as organizações porque existem muitas formas de obter acesso a qualquer máquina dentro de uma organização. Por exemplo, numa organização que utilize um controlador de domínio, qualquer utilizador pode iniciar sessão em qualquer máquina do domínio se tiver acesso físico à mesma. Só pode aceder a dados limitados à sua conta de utilizador na máquina. Mas ao utilizar estas vulnerabilidades, ele pode criar processos elevados para:
- Adicionar novas contas de utilizador ao grupo Administração para aceder a recursos confidenciais.
- Instalar backdoors e programas maliciosos no computador da vítima para posterior exploração.
- Ver, alterar ou eliminar quaisquer dados.
Como é que OPSWAT o ajuda a detetar as vulnerabilidades
MetaDefender Access pode detetar dispositivos que tenham as vulnerabilidades e fornecer instruções de correção.
Depois de instalar o MetaDefender Endpointele detectará vulnerabilidades nos terminais e informará o MetaDefender Access. MetaDefender Access irá analisar os dados e notificar os utilizadores finais se alguma vulnerabilidade for encontrada, juntamente com instruções úteis para remediar as vulnerabilidades detectadas. Os administradores também podem gerir todos os dispositivos vulneráveis através da consola web do MetaDefender Access.
MetaDefender Core com tecnologia de file-based vulnerability assessment , pode detetar vulnerabilidades em ficheiros binários nos terminais. MetaDefender Core fornece APIs que podem ser usadas para se integrar com outros serviços para analisar ficheiros. Por exemplo: analisar ficheiros que entram e saem da rede da sua organização.
- Se o ficheiro vulnerável estiver entre os ficheiros de sistema, é um sinal de que deve atualizar o seu sistema.
- Se o ficheiro vulnerável for um ficheiro de um programa de software, deve atualizar o seu software ou considerar a possibilidade de desinstalar o software temporariamente.
- Se um instalador for vulnerável, não o deve instalar em qualquer máquina da sua organização.
- Se um ficheiro de biblioteca no seu projeto for vulnerável, deve encontrar a versão mais recente corrigida da biblioteca ou deixar de a utilizar se não houver uma correção para as vulnerabilidades.
Como explorar?
O código de exploração para esta vulnerabilidade pode ser encontrado em https://www.exploit-db.com/exploits/47684, como um módulo da estrutura Metasploit da Rapid7 [3].
Demonstração de exploração:
- Máquina do atacante: Kali Linux.
- Máquina da vítima: Windows 10 1803 x64
- A demonstração supõe que o atacante já tem acesso à máquina da vítima.
Remediação
Recomenda-se vivamente que mantenha o Windows sempre atualizado, especialmente as actualizações relacionadas com a segurança (KB); ou, pelo menos, que aplique os patches de segurança até novembro de 2019.
Referências
[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability". Disponível: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] "CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability". Disponível em: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Metasploit da Rapid7". Disponível em: https://www.metasploit.com/