Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Windows CTF-fouten stellen aanvallers in staat systemen volledig te compromitteren

Cyber security Envicom todayaugustus 14, 2019 13

Background
share close
windows-msctf-protocol

Verschillende kritieke ontwerpfouten werden gevonden door Google Project Zero-beveiligingsonderzoeker Tavis Ormandy in het CTF-subsysteem (MSCTF) van het Windows Text Services Framework (MSCTF), aanwezig in alle versies die teruggaan tot Windows XP.

De problemen kunnen zelfs nog verder gaan voor gebruikers van Microsoft Offices, omdat, hoewel niet aanwezig in het Windows XP-basissysteem, MSCTF op het systeem zou worden geïnstalleerd met de productiviteitssuite.

Ormandy zegt dat aanvallers die al zijn aangemeld bij een Windows-systeem kunnen profiteren van een enorm aanvalsoppervlak dat voortvloeit uit de ontwerpfouten van MSCTF. Hierdoor kunnen ze mogelijk het hele systeem volledig in gevaar brengen nadat ze zijn misbruikt en SYSTEEM-privileges zijn verkregen.

“Het bleek dat het mogelijk was om sessies te bereiken en NT-beveiligingsgrenzen bijna twintig jaar te overschrijden, en niemand merkte het op,” voegde de onderzoeker toe.

Ormandy publiceerde ook een videodemo op YouTube om de gevaren achter de MSCTF-fouten te laten zien door het protocol te gebruiken om de Windows LogonUI te kapen – programma dat door het systeem wordt gebruikt om het inlogscherm te tonen – om SYSTEEMrechten in Windows 10 te verkrijgen.

“Een snelle beschrijving van de aanval zou zijn dat een onbevoegd proces (bijvoorbeeld lage integriteit) normaal gesproken geen invoer of gegevens van een hoog bevoorrecht proces zou mogen verzenden”,  zegt Ormandy. “CTF breekt deze veronderstellingen en laat onbevoegde processen toe om input te sturen naar geprivilegieerde processen.

“De voor de hand liggende aanvallen zijn het verzenden van opdrachten naar een verhoogd opdrachtvenster, het lezen van wachtwoorden uit dialoogvensters, het ontsnappen aan sandboxen van IL / AppContainer door invoer te verzenden naar vensters zonder sandbox, enzovoort.”

Het aanvalsoppervlak dat wordt blootgelegd door de ontwerpfouten van de MSCTF, zou aanvallers in staat kunnen stellen ook nieuwe programma’s te starten door een gecompromitteerde app te gebruiken om de CTF-client van een andere app te compromitteren. Als het origineel met verhoogde rechten werd uitgevoerd, zou het nieuw gelanceerde programma dat ook zijn.

“Dit betekent dat u een compromis kunt sluiten tussen Calculator en vanaf daar elke andere CTF-client kunt compromitteren. Zelfs niet-AppContainer-clients zoals Explorer. Op Windows 8 en eerder is het compromitteren van calc net zo eenvoudig als elke andere CTF-client”, zegt Ormandy. 

De geheugenbeschadigingsfouten in het CTF-protocol kunnen door aanvallers worden misbruikt in een standaardconfiguratie en zijn niet afhankelijk van de Windows-taal of regionale instellingen.

En, zoals Ormandy toevoegt, “dit begint niet eens het oppervlak van potentiële aanvallen te krassen voor gebruikers die vertrouwen op TIP’s die buiten het proces zijn, tekstinvoerprocessors.”

Windows MSCTF-protocol gedeeltelijk gepatcht

Microsoft heeft een beveiligingsupdate uitgegeven die is bijgehouden als CVE-2019-1162 om een ​​van de problemen te corrigeren die Ormandy in mei heeft gemeld, maar momenteel is het onduidelijk hoeveel meer bugs er moeten worden gepatcht om het MSCTF-protocol te beveiligen.

Volgens Redmond lost de beveiligingsfix die is uitgegeven als onderdeel van de August Patch Tuesday van het bedrijf een beveiligingslek op dat voorkomt in de manier waarop “Windows onjuist oproepen afhandelt naar Advanced Local Procedure Call (ALPC).”

Deze fout kan worden misbruikt door potentiële aanvallers die ‘willekeurige code kunnen uitvoeren in de beveiligingscontext van het lokale systeem. Een aanvaller kan dan programma’s installeren; gegevens bekijken, wijzigen of verwijderen; of nieuwe accounts maken met volledige gebruikersrechten’.

Het is echter belangrijk op te merken dat aanvallers niet-gepaarde Windows-apparaten eerst moeten verifiëren voordat ze de controle over het kwetsbare systeem krijgen.

Microsoft loste de ALPC-bug met bevoegdheden op door de manier te verbeteren waarop Windows oproepen naar ALPC afhandelt en gepubliceerde beveiligingsupdates voor Windows-versies beginnend met Windows 7 voor 32-bit Systems Service Pack 1 en hoger.

Een diepgaand overzicht van hoe de fouten werden gevonden en de gevaren erachter werden gepubliceerd door de Google-onderzoeker gisteren na de 90 dagen sinds de problemen op verantwoorde wijze aan Microsoft zijn bekendgemaakt. 

Ormandy heeft ook een verzameling hulpmiddelen en code gepubliceerd voor het verkennen van de Windows MSCTF-ontwerpfouten die hij heeft gevonden.

We hebben in augustus problemen met CVE-2019-1162 opgelost.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *