Для получения прав администратора на компьютере Windows 10 больше не требуются сложные методы и вредоносные приложения. Исследователь компьютерной безопасности недавно обнаружил, что для компрометации системы хакеру достаточно нажать клавиатурное сочетание Shift + F10 во время процесса обновления.
Сами Лайхо (Sami Laiho) в своем блоге пишет про обнаруженную уязвимость, связанную с отключением BitLocker во время развертывания новой сборки на компьютере Windows 10. В то же время среда предустановки Windows позволяет запускать командную строку просто зажав Shift + F10.
Проблема заключается в том, что данная командная строка запускается с системным уровнем доступа, поэтому потенциальный злоумышленник может использовать эту особенность для исполнения серии команд на целевом компьютере с правами администратора.
Лайхо объясняет, что данная уязвимость обнаруживается не только в сборках Windows 10 Insider Preview, но и при обновлении с версии RTM на Windows 10 Юбилейное обновление, потому что в обоих случаях используется одна и та же система обновления по алгоритму in-place.
“Главная проблема - возможность постороннему человеку исполнить команды с администраторскими привилегиями даже на машине, защищенной технологией шифрования BitLocker. Для этого даже не требуются специальные аппаратные или программные средства.”
Уязвимость BitLocker при обновлении in-place
Важно отметить, что при выполнении in-place обновления BitLocker не отключается полностью, а лишь приостанавливает работу, поэтому проверку TRM и парольную защиту можно обойти, получив доступ к локальным дискам из окна командной строки.
Есть несколько способов предотвратить эксплуатацию эксплойта. Например, можно использовать сервер Windows Server Update Services (WSUS), который ограничивает выполнение обновлений Windows 10 только в доверенной среде.
В случае с обычными пользователями проблема не так актуальна, если они не отходят от компьютера во время обновления. Для эксплуатации эксплойта требуется физический доступ к машине.
Для организаций ошибка является более критической. Многие работники покидают рабочее место во время длительного обновления, чем непременно могут воспользоваться преступники. Для проведения атаки достаточно несколько секунд.
Microsoft была уведомлена об обнаруженной уязвимости, и уже ведется разработка патча. Пока неизвестно, когда он будет доступен.
По материалам Softpedia
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах