Гугл открива 20-годишен неисправен дефект што влијае на сите верзии на Виндоус

ctfmon windows vulnerabilities

Истражувач за безбедност на Google штотуку откри детали за не гледана, 20-годишна ранливост со голема сериозност, која влијае на сите верзии на Microsoft Windows, од Windows XP, до најновиот Windows 10.

Ранливоста, што може да им овозможи на апликациите со ниски привилегии да читаат и пишуваат податоци на повисоки привилегирани апликации, е во начинот на кој клиентот и серверот на MSCTF комуницираат едни со други.

MSCTF е модул во Рамковната служба за текст (TSF) на оперативниот систем Виндоус кој управува со работи како влезни методи, распоред на тастатура, обработка на текст и препознавање на говор.

Накратко, кога ќе се најавите на вашата сметка за машина Виндоус, таа ја започнува услугата за монитори CTF што работи како централен орган за ракување со комуникацијата помеѓу сите клиенти, што всушност е прозорци за секој процес што работи во истата сесија.

“Можеби сте ја забележале услугата ctfmon во управувачот со задачи, таа е одговорна да ја извести апликацијата за промени во изгледот на тастатурата или методите за внесување. Кернелот ја принудува апликацијата да се поврзе со услугата ctfmon кога ќе започнат, а потоа разменува пораки со други клиенти и прима известувања од услуга “, објасни истражувачот.

Тавис Орманди од Google Project Zero Team откриле дека затоа што не постои контрола на пристап или автентикација за оваа интеракција, секоја апликација, кој било корисник, па дури и процесот на песок може да:

  • поврзано со сесијата CTF,
  • читање и пишување текст од кој било прозорец, од друга сесија,
  • фаќање на ID на конецот, проект за идентификација и нивниот HWND,
  • преправајќи се дека е услуга CTF, измами други апликации, дури и специјални, за да се поврзе со неа, или
  • Избегајте од песокот и зголемете ги привилегиите.

„Нема контрола на пристап во CTF, така што можете да се поврзете со активните сесии на други корисници и да превземете каква било апликација, или да чекате администраторот да влезе и да ја компромитира нивната сесија“, објасни Орманди во блогот објавен денес.

„Излезе дека е можно да се достигне целата сесија и да се пробие границата за безбедност на НТ скоро дваесет години, а никој не забележал“.

Доколку се експлоатираат, слабостите во протоколот CTF можат да им овозможат на напаѓачите лесно да ја заобиколат Изолацијата на кориснички интерфејс (UIPI), оставајќи дури и на недостапниот процес да:

  • прочитајте чувствителен текст од други прозорци на апликации, вклучително и лозинки надвор од прозорецот за дијалог,
  • добијте привилегии на СИСТЕМ,
  • контролирање на дијалогот за одобрување UAC,
  • испратете команди до сесијата на администраторската конзола, или
  • избега од сандачето IL / AppContainer со испраќање влез за без поштенско сандаче за Windows.

Орманди објави и доказ за видео за концепт кој покажува како проблемот може да се искористи за да се стекнат со привилегии на СИСТЕМ на Виндоус 10.

Покрај тоа, протоколот CTF, наводно, содржи и многу грешки на оштетување на меморијата кои, според истражувачите, можат да бидат експлоатирани во стандардната конфигурација.

“Дури и без грешки, протоколот CTF им дозволува на апликациите да разменуваат влезни и да читаат содржина едни со други. Сепак, има многу протокол грешки кои овозможуваат преземање целосна контрола на скоро сите други апликации. Itе биде интересно да се види како Мајкрософт одлучи да го модернизира протоколот”, рече Орманди. .

Истражувачите исто така објавија специјален отворен извор „CTF Exploration Tool“ на Github кој го разви и користеше за да најдат многу критични безбедносни проблеми во протоколот CTF Windows

Орманди одговорно ги пријавил своите откритија до Мајкрософт кон средината на мај годинава и ги објави деталите пред јавноста денес, откако Мајкрософт не успеа да го реши проблемот во рок од 90 дена по известувањето.