Un nou atac lovește Windows chiar după actualizarea Microsoft. Vulnerabilitatea le poate oferi atacatorilor drepturi de administrator
Microsoft a lansat recent unul dintre cele mai ample pachete de actualizări de securitate din ultimii ani, însă la doar câteva ore după distribuirea acestuia a apărut o nouă problemă care pune compania într-o situație dificilă. Un cercetător în securitate informatică a făcut public un exploit care profită de o vulnerabilitate din Windows și care, în anumite condiții, poate permite escaladarea privilegiilor unui utilizator obișnuit.
Specialiștii în securitate spun că vulnerabilitatea este una serioasă și că, deși codul publicat nu este complet funcțional pentru atacuri complexe, acesta oferă suficiente informații pentru ca alți cercetători sau chiar infractori cibernetici să dezvolte metode mai periculoase de exploatare. Microsoft a confirmat că investighează problema și lucrează la o soluție.
Vulnerabilitatea afectează serviciul care gestionează profilurile tuturor
Noua vulnerabilitate, denumită HiveLegacy, vizează Windows User Profile Service, componenta responsabilă de administrarea profilurilor utilizatorilor în sistemul de operare, scrie Ars Technica.
Exploitul permite unui utilizator cu drepturi limitate să modifice anumite informații asociate unui cont cu privilegii mai ridicate, intervenind asupra unei componente importante din registrul Windows. În forma prezentată de autor, atacul presupune cunoașterea credențialelor unui alt utilizator și a numelui unui al treilea cont existent pe același calculator.
Chiar dacă scenariul pare limitat la prima vedere, experții avertizează că astfel de vulnerabilități pot reprezenta punctul de plecare pentru atacuri mult mai complexe.
Potrivit analiștilor din domeniu, dacă un atacator reușește să modifice anumite setări astfel încât propriul cod să fie executat atunci când un administrator se autentifică în sistem, acesta poate obține, în practică, control asupra calculatorului fără să dețină inițial drepturi administrative.
Cercetătorii avertizează că exploitul poate fi combinat cu alte atacuri
Mai mulți specialiști care au analizat codul publicat susțin că vulnerabilitatea reprezintă o bază solidă pentru dezvoltarea unor atacuri mai sofisticate.
În securitatea cibernetică, astfel de vulnerabilități sunt denumite adesea „primitive”, deoarece pot fi combinate cu alte exploituri pentru a compromite complet un sistem.
Experții cred că HiveLegacy ar putea fi integrată în lanțuri de atac mai complexe, care să permită preluarea totală a unui computer sau executarea de cod cu privilegii maxime.
Microsoft investighează problema
Compania americană a confirmat că a luat la cunoștință existența vulnerabilității și că desfășoară o investigație tehnică.
În același timp, Microsoft a reiterat faptul că preferă ca descoperirile de acest tip să fie raportate prin procedurile oficiale de divulgare responsabilă, astfel încât problemele să poată fi remediate înainte ca detaliile tehnice să devină publice.
Autorul exploitului, cunoscut sub pseudonimul NightmareEclypse, nu este la prima astfel de publicare. În ultimii ani, acesta a făcut publice mai multe vulnerabilități de tip zero-day, criticând în repetate rânduri modul în care Microsoft gestionează raportările primite din partea cercetătorilor independenți.
Potrivit acestuia, versiunea publicată a codului a fost limitată intenționat pentru a reduce riscul utilizării directe în atacuri informatice.
Ce poți face până la apariția unui patch
Până când Microsoft va distribui un update de securitate, specialiștii recomandă câteva măsuri preventive. Administratorii de sisteme sunt sfătuiți să limiteze posibilitatea creării de conturi locale inutile și să monitorizeze activitatea serviciului responsabil de încărcarea profilurilor utilizatorilor, în special dacă apar operațiuni neobișnuite asupra fișierelor asociate registrului Windows.
Totodată, cercetătorii independenți au publicat deja instrumente și scripturi care pot ajuta la identificarea sistemelor vulnerabile și la detectarea unor tentative de exploatare.
Deși vulnerabilitatea nu poate fi exploatată de la distanță fără alte condiții suplimentare, specialiștii avertizează că publicarea codului crește riscul ca acesta să fie adaptat rapid de grupări specializate în atacuri informatice.