Microsoftovi novi kernel senzori u Windows 10 verziji 1809 označili su gadnu pogrešku u Huaweijevom softveru PCManager.
U sklopu nastojanja da zaštiti Windows 10 od sljedećeg WannaCryja, sigurnosni istraživači u Microsoftu otkrili su uslužni program Huawei s greškama koji je napadačima mogao dati jeftin način za potkopavanje sigurnosti Windowsa zrno.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Microsoft je sada detaljno opisao kako je pronašao ozbiljan nedostatak lokalne eskalacije privilegija u softveru upravljačkog programa Huawei PCManager za svoju MateBook liniju prijenosnih računala sa sustavom Windows 10. Zahvaljujući radu Microsofta, kineski tehnološki div zakrpao je nedostatak u siječnju.
Kako Microsoftovi istraživači objašnjavaju, upravljački programi kernela trećih strana postaju sve privlačniji napadačima kao sporedna vrata do napada na kernel bez potrebe za prevladavanjem njegove zaštite korištenjem skupog zero-day kernela Windows.
Nedostatak u Huaweijevom softveru otkrili su novi kernel senzori koji su implementirani u Windows 10 October 2018 Update, odnosno inačici 1809.
Senzori su dio Microsoftovog odgovora na izbijanje zlonamjernog softvera WannaCry 2017., koji je izazvao pustoš u Nacionalnoj zdravstvenoj službi Ujedinjenog Kraljevstva i zarazio oko 200.000 Windows računala diljem svijeta. Malware se pripisuje sjevernokorejskim hakerima.
Točnije, senzori su dizajnirani za hvatanje malware poput DoublePulsar, backdoor implant koji su stvorili hakeri američke Agencije za nacionalnu sigurnost, a koji je procurio od strane The Shadow Brokers početkom 2017. DoublePulsar radi u načinu kernela i bio je sredstvo za isporuku WannaCryja, kopirajući zlonamjerni softver iz kernela u korisnički prostor.
Senzori jezgre namijenjeni su za rješavanje poteškoća u otkrivanju zlonamjernog koda koji se izvodi u jezgre i dizajnirani su za otkrivanje ubacivanja koda poziva asinkrone procedure (APC) u korisnički prostor iz zrno.
Microsoft Defender ATP anti-malware koristi ove senzore za otkrivanje radnji uzrokovanih kodom kernela koji može ubaciti kod u korisnički način rada.
Huaweijev PCManager pokrenuo je Defender ATP upozorenja na više uređaja sa sustavom Windows 10, što je natjeralo Microsoft da pokrene istragu.
"Traženje nas je dovelo do koda kernela koji je pokrenuo upozorenje. Očekivalo bi se da će softver za upravljanje uređajem obavljati uglavnom zadatke povezane s hardverom, s isporučenim upravljačkim programima uređaja komunikacijski sloj s hardverom specifičnim za OEM", objašnjava Amit Rapaport, istraživač na Microsoft Defender ATP-u tim.
"Dakle, zašto se ovaj vozač ponašao neobično? Da bismo odgovorili na ovo pitanje, napravili smo obrnuti inženjering HwOs2Ec10x64.sys."
VIDJETI: Pobjednička strategija za kibernetičku sigurnost (ZDNet posebno izvješće) | Preuzmite izvješće kao PDF (TechRepublic)
Istraga je dovela istraživača do izvršne MateBookService.exe. Zbog greške u Huaweijevom 'pasu čuvaru' mehanizmu za HwOs2Ec10x64.sys, napadač može stvoriti zlonamjernu instancu MateBookService.exe kako bi dobio povišene privilegije.
Greška se može koristiti da se kod koji radi s niskim privilegijama čita i piše u druge procese ili u prostor kernela, što dovodi do "potpunog kompromisa stroja". Microsoft je koristio 'proces hollowing', popularan trik koji koriste autori zlonamjernog softvera kako bi demonstrirali nedostatak.
"Instanci MateBookService.exe kojom upravlja napadač i dalje će biti dopušten pristup uređaju \\.\HwOs2EcX64 i moći će pozvati neke od svojih IRP funkcija. Tada bi proces kojim upravlja napadač mogao zlouporabiti ovu sposobnost da razgovara s uređajem kako bi registrirao nadziranu izvršnu datoteku po vlastitom izboru", objašnjava Rapaport.
"S obzirom na činjenicu da nadređeni proces ima puna dopuštenja nad svojom djecom, čak i kod s niskim privilegijama može proizvesti zaraženi MateBookService.exe i ubaciti kod u njega."
Prema Huaweijevo savjetovanje, napadač može iskoristiti grešku navodeći korisnike da pokrenu zlonamjernu aplikaciju. Greška ima ocjenu ozbiljnosti 7,3 od mogućih 10.
"Uspješno iskorištavanje može izazvati napadača da izvrši zlonamjerni kod i čitanje/pisanje memorije", napominje Huawei.
Više o Microsoft i Windows sigurnosti
- Microsoft donosi Windows 10 sigurnost na Apple Macove s Defender ATP-om
- Microsoft razljutio bivšeg šefa Windowsa: Zaustavljanje Office 365 sinkronizacije na njegovom novom iPhoneu je 'ludo'
- Windows 10 grafika: Intel upozorava, zakrpa 19 ozbiljnih nedostataka upravljačkog programa sada
- Windows 10 1809, 1803: Microsoft potvrđuje novu pogrešku u kumulativnom ažuriranju
- Kako virtualizacija mijenja sigurnost Windows aplikacija TechRepublic
- Zbogom lozinke? WebAuthn je sada službeni web standard CNET