🥄 🤛🏽 ⛪️ विंडोज यूएसी कभी विस्मित करना बंद नहीं करता है, या एक अंदरूनी सूत्र का पता लगाने के लिए कैसे 🚬 🤾🏾 🏕️

सभी को नमस्कार! मुझे यकीन है कि आपने विंडोज यूएसी तकनीक की कमियों के बारे में सुना है, लेकिन अपेक्षाकृत हाल ही में एक जिज्ञासु भेद्यता का विवरण दिखाई दिया है, जिसके शोषण से एक अप्रभावी उपयोगकर्ता को विशेषाधिकार अधिकतम करने की अनुमति मिलती है। जेट सीएसआईआरटी में, हमने इस मामले को अप्राप्य नहीं छोड़ा, क्योंकि आईएस की निगरानी और प्रतिक्रिया देने वाली टीम के लिए, प्रिविलेज एस्केलेशन वर्ग की कमजोरियां विशेष रुचि हैं। कटौती के तहत - भेद्यता, पहचान और सुरक्षा के तरीकों का विवरण।

भेद्यता विवरण

जीरो डे इनिशिएटिव टीम के शोधकर्ता एडुआर्डो ब्रौन प्राडो ने विंडोज सर्टिफिकेट डायलॉग घटक में एक स्थानीय विशेषाधिकार वृद्धि भेद्यता की खोज की है जो उपयोगकर्ता विशेषाधिकारों के गलत प्रसंस्करण से उत्पन्न होती है। भेद्यता उपयोगकर्ता के विशेषाधिकार को अधिकतम संभव सिस्टम तक बढ़ाने और विंडोज के सभी सुरक्षात्मक तंत्रों को दरकिनार करने की अनुमति देती है। यह तब होता है जब विंडोज यूएसी तंत्र का उपयोग किया जाता है, जब उपयोगकर्ता प्रशासक की ओर से फ़ाइल लॉन्च संवाद खोलकर सुरक्षित डेस्कटॉप घटक के साथ बातचीत करता है।

भेद्यता का सार क्या है? निष्पादन योग्य फ़ाइल प्रमाणपत्र में Microsoft-विशिष्ट ऑब्जेक्ट पहचानकर्ता (OID) के प्रारूप में एक वैकल्पिक संख्यात्मक फ़ील्ड "नीति पहचानकर्ता" होता है।

Wintrust.h हेडर फ़ाइल इस फ़ील्ड को SPC_SP_AGENCY_INFO_OBJID के रूप में परिभाषित करती है। यद्यपि इसका उद्देश्य खराब रूप से प्रलेखित है, लेकिन इसका सबसे अधिक विश्लेषण किया जाता है जब प्रमाणपत्र विवरण के साथ एक विंडो खोली जाती है। जब इस फ़ील्ड को सही प्रारूप में प्रस्तुत किया जाता है, तो नियत स्थान को हाइपरलिंक के रूप में प्रदर्शित किया जाएगा जिसमें SpcSpAariosInfo विशेषता से लिया गया मान होगा।

जब आप क्षेत्र के आधार पर जारी किए गए लिंक पर क्लिक करते हैं, तो इंटरनेट एक्सप्लोरर सिस्टम अनुमतियों के साथ खुलता है। इसके लिए मूल प्रक्रिया सहमति की प्रक्रिया होगी। यह अधिकतम विशेषाधिकारों के साथ भी चलता है, और यह इसके संदर्भ में है कि यूएसी संवाद शुरू होता है। तदनुसार, आगे चलकर विरासत प्रणाली के अधिकारों के साथ ब्राउज़र मेनू से एक मनमाना फ़ाइल (cmd.exe, powershell.exe) चलाना संभव हो जाता है।

भेद्यता (वीडियो नीचे दी गई है) के शोषण को प्रदर्शित करने के लिए PoC के रूप में, शोधकर्ता ने HTML सहायता ActiveX नियंत्रण उपयोगिता का उपयोग करने का सुझाव दिया, जिसके प्रमाण पत्र में ऊपर वर्णित विशेषताएं हैं।

उसी समय, इस तरह से किसी भी निष्पादन योग्य फ़ाइल पर हस्ताक्षर करना संभव है, उदाहरण के लिए, शक्तियां cmdlet सेट-ऑथेंटिकोडसिग्नेचर का उपयोग करके। सबसे पहले, आपको एक स्व-हस्ताक्षरित रूट सर्टिफिकेट अथॉरिटी सर्टिफिकेट और विंडोज एसडीके से मैकचर्ट यूटिलिटी का उपयोग करके एक फाइनल सर्टिफिकेट बनाना होगा। निर्देश यहाँ दिया गया है ।

भेद्यता को पहचानकर्ता CVE-2019-1388 और CVSS 7.8 मिला है। विंडोज 7 से विंडोज सर्वर 2019 तक के सभी ओएस संस्करण इससे प्रभावित थे। पैच स्थापित करने के बाद, प्रमाणपत्र विवरण में फ़ील्ड द्वारा जारी हाइपरलिंक के रूप में प्रदर्शित होना बंद हो जाता है।

स्वचालन की कठिनाई के कारण इस भेद्यता का बड़े पैमाने पर दोहन होने की संभावना नहीं है। दरअसल, इसके आधार पर एक हमले को लागू करने के लिए, उपयोगकर्ता को कई कार्यों को करने की आवश्यकता होगी - एक निष्पादन योग्य फ़ाइल प्रमाणपत्र के साथ एक विंडो खोलने से लेकर इंटरनेट एक्सप्लोरर इंटरफ़ेस के माध्यम से कमांड लाइन शुरू करने के लिए। इसलिए, सबसे संभावित हमले का परिदृश्य आंतरिक घुसपैठियों के कार्यों से संबंधित हो सकता है।

कैसे पता करें

Windows x64 प्लेटफ़ॉर्म पर एक भेद्यता के शोषण का पता लगाने के लिए, हम CRM- सिस्टम में एक सहसंबद्ध नियम का उपयोग करते हैं, जो कि CRM- सिस्टम में घटनाओं की श्रृंखला पर नज़र रखता है (मॉनिटर किए गए नोड पर, आपको पहले उपयुक्त स्टार्टअप नीति का उपयोग करके प्रक्रिया स्टार्टअप का ऑडिट सक्षम करना चाहिए या Sysinternals से Sysmon उपयोगिता का उपयोग करना चाहिए):

सिस्टम विशेषाधिकार (ईवेंट कोड 4688 ) के साथ कॉन्स्टेंट। Ex प्रक्रिया की शुरुआत का पता लगाना।
सिस्टम अधिकारों के साथ प्रक्रिया C: \ Program Files \ iexplore.exe की शुरुआत का पता लगाना, जहां सहमति प्रक्रिया मूल प्रक्रिया के रूप में कार्य करती है।
सिस्टम विशेषाधिकारों के साथ प्रक्रिया C: \ Program Files (x86) \ iexplore.exe की शुरुआत का पता लगाना, जहां C: \ Program Files \ iexplore.exe मूल प्रक्रिया के रूप में कार्य करता है।
सिस्टम विशेषाधिकारों के साथ शेल (cmd.exe, powershell.exe) के लॉन्च का पता लगाना, जहां C: \ Program Files (x86) \ iexplore.exe पैरेंट प्रक्रिया के रूप में कार्य करता है।
प्रक्रिया ID C: \ Program Files (x86) \ iexplore.exe दावे 3 से और ID C: \ Program Files (x86) \ iexplore.exe पिछले पैराग्राफ से मूल प्रक्रिया के समान हैं।

आइए हम फोर्टीएसईईएम पक्ष पर वर्णित सहसंबंध नियम का एक उदाहरण देते हैं।

उपयोग की गई शर्तें

Launch.exe सहमति शर्तों का पता लगाना

विस्तार IEx64 लॉन्च स्थिति

विस्तार IEx86 लॉन्च की स्थिति

विस्तार लॉन्च की स्थिति cmd.exe, powershell.exe

FortiSIEM सहसंबंध नियम स्रोत कोड

<rules><DataRequest advanced="true" custId="1" type="Rule"> <Name>UAC Privilege Escalation through Secure Desktop</Name> <Description>   UAC Secure Desktop CVE-2019-1388</Description> <Remediation/> <CustomerScope groupByEachCustomer="true"> <Include>1</Include> <Exclude/> </CustomerScope> <PatternClause window="300"> <SubPattern id="148021654" name="Consent_Execution"> <SingleEvtConstr>eventType = "Win-Security-4688" AND procName CONTAIN "consent.exe" AND user IN ("","SYSTEM")</SingleEvtConstr> <GroupEvtConstr>COUNT(*) >= 1</GroupEvtConstr> <GroupByAttr>user,procName</GroupByAttr> </SubPattern> <Operator rank="0" type="FOLLOWED_BY"/> <SubPattern id="148021655" name="IE_x64_Execution"> <SingleEvtConstr>eventType = "Win-Security-4688" AND procName REGEXP (".*Files\\\\Internet.*\\\\iexplore\\.exe$") AND parentProcName CONTAIN "consent.exe" OR user IN ("","SYSTEM")</SingleEvtConstr> <GroupEvtConstr>COUNT(*) >= 1</GroupEvtConstr> <GroupByAttr>procId,user,parentProcName,procName</GroupByAttr> </SubPattern> <Operator rank="0" type="FOLLOWED_BY"/> <SubPattern id="148021664" name="IE_x86_Execution"> <SingleEvtConstr>eventId = 4688 AND procName REGEXP (".*\\(x86\\)\\\\.*\\\\iexplore\\.exe$") AND parentProcName REGEXP (".*Files\\\\Internet.*\\\\iexplore\\.exe$") AND user IN ("","SYSTEM")</SingleEvtConstr> <GroupEvtConstr>COUNT(*) >= 1</GroupEvtConstr> <GroupByAttr>procName,parentProcName,procId,user</GroupByAttr> </SubPattern> <Operator rank="0" type="FOLLOWED_BY"/> <SubPattern id="148021656" name="Cmd_Execution"> <SingleEvtConstr>eventType = "Win-Security-4688" AND ( procName CONTAIN "cmd.exe" OR procName CONTAIN "powershell.exe" ) AND parentProcName REGEXP (".*\\(x86\\)\\\\.*\\\\iexplore\\.exe$") AND user IN ("","SYSTEM")</SingleEvtConstr> <GroupEvtConstr>COUNT(*) >= 1</GroupEvtConstr> <GroupByAttr>user,parentProcName,procName,parentProcId</GroupByAttr> </SubPattern> <GlobalConstr>IE_x86_Execution.procId = Cmd_Execution.parentProcId</GlobalConstr> </PatternClause> <IncidentDef eventType="UAC_Privilege_Escalation_through_Secure_Desktop" eventTypeGroup="PH_SYS_EVENT_PH_RULE_SEC" fireFreq="900" severity="7"> <ArgList>procName=Cmd_Execution.procName,parentProcName=Cmd_Execution.parentProcName,user=Cmd_Execution.user</ArgList> </IncidentDef> <DynWatchListDef/> <userRoles> <roles custId="0"></roles> </userRoles> <TriggerEventDisplay> <AttrList>phRecvTime,eventType,reptDevName,reptDevIpAddr,destIpAddr,destName,user,parentProcId,parentProcName,procId,procName,rawEventMsg</AttrList> </TriggerEventDisplay> </DataRequest> </rules>

शोधकर्ता फ्लोरियन रोथ ने इस भेद्यता के दोहन के प्रयासों का पता लगाने के लिए एक सिग्मा नियम पोस्ट किया । हालाँकि, भाषा प्रतिबंधों के कारण, नियम का उपयोग करके, सिस्टम इंटरनेट अधिकारों के साथ केवल Internet Explorer लॉन्च इवेंट और शेल लॉन्चिंग के बाद की पहचान के बिना पैरेंट सहमति की प्रक्रिया का पता लगाना संभव है। सिग्मा उपकरणों का उपयोग करके ऊपर (1-5) वर्णित शर्तों के तहत आवश्यक घटनाओं की श्रृंखला को ट्रैक करना संभव नहीं है, यही कारण है कि हमें अपना नियम विकसित करने के लिए मजबूर किया गया था।

खुद की सुरक्षा कैसे करें

1. इसी OS संस्करण के लिए 12 नवंबर को Microsoft पैच स्थापित करें।

2. यदि इस भेद्यता को खत्म करने के लिए एक पैच स्थापित नहीं किया जा सकता है, तो आपको उपयोग करना चाहिए:

उपयोगकर्ता समूह में शामिल खातों के लिए cmd।
EPP, EDR वर्ग के सिस्टम का उपयोग करके होस्ट-आधारित IPS (आपको एक्सेस नियमों को कॉन्फ़िगर करने की आवश्यकता है जो cmd.exe, powerhell.exe का उपयोग करने से iexplore.exe प्रक्रिया को प्रतिबंधित करते हैं)।

विंडोज यूएसी कभी विस्मित करना बंद नहीं करता है, या एक अंदरूनी सूत्र का पता लगाने के लिए कैसे

भेद्यता विवरण

कैसे पता करें

खुद की सुरक्षा कैसे करें

More articles: