Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.
Уязвимости обнаружены в DHCP-клиенте, встроенном в операционную систему Windows 10. Протокол DHCP отвечает за автоматическое подключение устройств к сети — раздачу этим устройствам IP-адресов и других сетевых параметров. Он позволяет исключить конфликты в сети, например дублирование IP-адресов, а также избежать ручной настройки на каждом устройстве в отдельности. Администратору достаточно один раз настроить DHCP-сервер на физическом сервере или маршрутизаторе, чтобы раздавать IP-адреса и другие сетевые параметры DHCP-клиентам (компьютерам сотрудников, принтерам или другому оборудованию). Раздача сетевых конфигураций происходит по запросу с определенной периодичностью, определяемой администратором.
«Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков. — В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы».
Однако, при развитии атаки с использованием данной уязвимости злоумышленник мог столкнуться с рядом трудностей. Права анонимного пользователя имеют ограничения: с такими привилегиями запрещен доступ к пользовательским и системным процессам, папкам и веткам реестра и ряду других папок. А для повышения привилегий и продолжения атаки могут быть использованы другие существующие уязвимости. По статистике Positive Technologies, рабочие станции в организациях в целом защищены неудовлетворительно: в 100% случаев внутренний злоумышленник может захватить полный контроль над сетью. Например, в 2017 году, после атаки WannaCry, более чем в половине систем эксперты обнаружили уязвимость, которую использовал этот вирус-вымогатель. При этом патч для нее был выпущен за несколько месяцев до эпидемии.
Нарушитель также должен был находиться в одной сети с атакуемой системой. Но это мог быть взломщик, получивший доступ к недостаточно защищенной рабочей станции с помощью фишинга. При этом конечной целью могла быть критически важная система — например, автоматизированная банковская система. Кроме того, в некоторых организациях атака могла быть возможна и напрямую из внешних сетей[1].
Обе обнаруженные уязвимости давали возможность проводить атаку, подменяя ответ легитимного DHCP-сервера сообщением нарушителя. Для атаки злоумышленник должен был отправить специальный список DNS-суффиксов (CVE-2019-0726) или сообщить в DHCP-ответе аномально большое количество опций (CVE-2019-0697).
Это не первый случай сотрудничества Positive Technologies и Microsoft. В 2013 году Тимур Юнусов совместно с другими экспертами Positive Technologies выявил возможность проведения XXE-атаки в различных программах пакета Microsoft Office. В 2017 году Михаил Цветков в ходе работ по расследованию инцидента обнаружил попытку эксплуатации неизвестной на тот момент уязвимости CVE-2017-0263 в операционной системе Windows, которая позволяла атакующему устанавливать программы, просматривать, изменять, удалять данные или создавать новые учетные записи с системными привилегиями.
Все необходимые проверки на наличие уязвимостей CVE-2019-0726 и CVE-2019-0697 добавлены в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol 8.
[1] В тех случаях, когда настроена функция DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.