Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Google onthult 20 jaar oude fout die alle versies van Windows treft

Cyber security Envicom todayaugustus 13, 2019 42

Background
share close
GOOGLE ONTHULT 20 JARIGE UNPATCHED FOUT DIE ALLE VERSIES VAN WINDOWS TREFT

Een beveiligingsonderzoeker van Google heeft zojuist details bekendgemaakt over een 20 jaar oude, niet-gepatchte, zeer ernstige kwetsbaarheid die van invloed is op alle versies van Microsoft Windows, terug van Windows XP tot de nieuwste Windows 10.

Het beveiligingslek zit in de manier waarop MSCTF-clients en -server met elkaar communiceren, waardoor zelfs een toepassing met weinig rechten of een sandbox-gegevens gegevens kan lezen en schrijven naar een toepassing met hogere rechten.

MSCTF is een module in Text Services Framework (TSF) van het Windows-besturingssysteem dat zaken beheert als invoermethoden, toetsenbordindelingen, tekstverwerking en spraakherkenning.

Kortom, wanneer u zich aanmeldt bij uw Windows-machine, wordt een CTF-monitorservice gestart die werkt als een centrale autoriteit voor de communicatie tussen alle clients, die eigenlijk vensters zijn voor elk proces dat op dezelfde sessie wordt uitgevoerd.

“Je hebt misschien de ctfmon-service opgemerkt in taakbeheer, deze is verantwoordelijk voor het melden van applicaties over wijzigingen in toetsenbordindeling of invoermethoden. De kernel dwingt applicaties om verbinding te maken met de ctfmon-service wanneer ze beginnen, en vervolgens berichten uit te wisselen met andere clients en ontvangen meldingen van de service ‘, legde de onderzoeker uit.

Tavis Ormandy van het Project Zero Team van Google ontdekte dat aangezien er geen toegangscontrole of enige vorm van authenticatie aanwezig is voor deze interactie, elke applicatie, elke gebruiker en zelfs sandbox-processen:

  • verbinden met CTF-sessie,
  • lees en schrijf de tekst van elk venster, van elke andere sessie,
  • neppe thread-ID, proces-ID en HWND,
  • zich voordoen als een CTF-service en andere toepassingen, zelfs bevoorrechte, misleiden om ermee verbinding te maken, of
  • ontsnappen uit sandbox en escaleer privileges.

“Er is geen toegangscontrole in CTF, dus u kunt verbinding maken met de actieve sessie van een andere gebruiker en elke toepassing overnemen, of wachten tot een beheerder zich aanmeldt en zijn sessie compromitteert”, legt Ormandy uit in een blogbericht dat vandaag is gepubliceerd.

“Het bleek dat het mogelijk was om sessies te bereiken en NT-beveiligingsgrenzen bijna twintig jaar te overschrijden, en niemand merkte het.”

Indien misbruikt, kan de zwakte in het CTF-protocol aanvallers in staat stellen gebruikersinterface Privilege Isolation (UIPI) gemakkelijk te omzeilen, waardoor zelfs een onbevoegd proces om:

  • gevoelige tekst lezen vanuit elk venster van andere applicaties, inclusief wachtwoorden uit dialoogvensters,
  • SYSTEEM-privileges verkrijgen,
  • controle nemen over het UAC-toestemmingsvenster,
  • opdrachten verzenden naar de consolesessie van de beheerder, of
  • ontsnap aan IL / AppContainer-sandboxen door invoer te verzenden naar vensters zonder sandbox.

Ormandy heeft ook een proof-of-concept-video gepubliceerd die laat zien hoe het probleem kan worden misbruikt om SYSTEEM-privileges te verkrijgen in Windows 10.

Daarnaast bevat het CTF-protocol naar verluidt ook veel geheugenbeschadigingfouten die volgens de onderzoeker in een standaardconfiguratie kunnen worden misbruikt.

“Zelfs zonder bugs stelt het CTF-protocol toepassingen in staat om input uit te wisselen en elkaars inhoud te lezen. Er zijn echter veel protocol-bugs die de volledige controle over bijna elke andere applicatie mogelijk maken. Het zal interessant zijn om te zien hoe Microsoft besluit te moderniseren het protocol, “zegt Ormandy.

De onderzoeker heeft ook een aangepaste open-source “CTF Exploration Tool” op Github uitgebracht die hij heeft ontwikkeld en gebruikt om veel kritieke beveiligingsproblemen in het Windows CTF-protocol te ontdekken.

Ormandy heeft zijn bevindingen medio mei van dit jaar verantwoord gerapporteerd aan Microsoft en de details vandaag aan het publiek bekendgemaakt nadat Microsoft het probleem niet binnen 90 dagen na kennisgeving had opgelost.

Heeft u iets te zeggen over dit artikel? Reageer hieronder of deel het met ons op Facebook, Twitter of onze LinkedIn-groep.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *