Пробивая барьеры и предположен... Заметка
RSS Zero Day Initiative - Блог

Пробивая барьеры и предположения: Техники для повышения привилегий в Windows: Часть 1

За последние годы наблюдается значительный рост числа уязвимостей, связанных с переходом по ссылкам, представленных в программе ZDI. Эти уязвимости часто включают программное эксплуатирование условий гонки и обнаруживаются в приложениях, которые работают с повышенными привилегиями и выполняют файловые операции. Чтобы найти эти уязвимости, исследователи идентифицируют файловые операции, которые создают, изменяют или удаляют файлы в местах, доступных стандартным пользователям, а затем проверяют отсутствие проверок на наличие пользовательских ссылок. Среди стратегий, используемых разработчиками для предотвращения перехода по ссылкам, есть использование флага FILE_FLAG_OPEN_REPARSE_POINT, проверка на наличие тега переопределения, использование защищенных и скрытых файлов, а также имитация. Однако не все эти методы эффективны.Один из многообещающих подходов заключался в эксплуатации неправильной имитации, но сентябрьская 2023 года меры по смягчению от Microsoft (ObpUseSystemDeviceMap) ограничивают этот подход файловыми запросами на системном диске. Уязвимости в продуктах AVG и Avast демонстрируют уязвимости к привилегированным атакам с помощью неудачных проверок. В одном случае можно было создать условие отказа в обслуживании, эксплуатируя отсутствие предотвращения перехода по ссылкам во время создания директории. В другом случае локальное повышение привилегий можно было достичь, злоупотребляя условий гонки при реконструкции пути файла после восстановления из карантина. Эти уязвимости подчеркивают важность надлежащего предотвращения перехода по ссылкам в приложениях, которые выполняют файловые операции с повышенными привилегиями.