Les patates chaudes casseront vos fenêtres: obtention des droits système sur toutes les versions de Windows, à partir de la 7e

Les experts en sécurité de Foxglove Security ont pu combiner plusieurs vulnérabilités dans les systèmes d'exploitation de Microsoft, dont la plus ancienne a déjà 15 ans. Le système de trois vulnérabilités, réunies en une seule, s'appelait "Hot Potato". Ce système permet un délai raisonnable pour élever les privilèges du processus du plus bas au système, et ainsi prendre le contrôle du système d'exploitation.

Parmi les vulnérabilités utilisées, citons le relais NTLM, une attaque contre le protocole d'authentification de NT LAN Manager (spécifiquement le relais HTTP-> SMB). Une autre vulnérabilité est l'usurpation NBNS, qui permet à un attaquant de configurer de faux mandataires dans le protocole de détection automatique de proxy Web. Toutes les vulnérabilités fonctionnent dans Windows 7, 8, 10, Server 2008 et Server 2012.


Fonctionnement de l'utilitaire sous Windows 7 Les

vulnérabilités utilisées ne sont pas nouvelles. De plus, ils sont tous bien connus au sein de Microsoft. Le seul problème est que la correction de ces vulnérabilités est impossible sans violer la compatibilité descendante des différentes versions des systèmes d'exploitation. Par conséquent, différents types de pirates les exploitent à ce jour.

Les chercheurs ont pris la méthode du projet 2014 de Google Project Zero comme base de leur système , puis l'ont développé et complété. La méthode de combinaison des vulnérabilités connues entre elles est nouvelle.

L'application successive de trois vulnérabilités peut prendre un temps assez long, de plusieurs minutes à plusieurs jours, mais en cas de succès, l'attaquant peut augmenter les privilèges du processus au système. Étant donné que de nombreux administrateurs, lors de la création de la protection du réseau, s'appuient sur le niveau de privilèges, le processus qui a reçu les privilèges les plus élevés permettra de pénétrer d'autres ordinateurs sur le réseau et compromettra ainsi l'ensemble du réseau.

Foxglove Security a été révélé lors de sa dernière conférence de piratage ShmooCon le week-end dernier. Ils n'ont pas hésité non seulement à décrire en détail la technologie du piratage sur leur page , mais aussi à publier des vidéos avec une démonstration et même à mettre en place le code de l'utilitaire de piratage sur GitHub .

Source: https://habr.com/ru/post/fr389431/