Autore: Vuong Doan Minh, Ingegnere Software , OPSWAT
Introduzione
L'escalation dei privilegi è un tipo di exploit che fornisce agli attori malintenzionati diritti di accesso elevati alle risorse protette di un'applicazione o di un sistema operativo.
Descrizione dell'exploit
CVE-2019-1405 può essere utilizzata per elevare i privilegi di qualsiasi utente locale a utente del servizio locale.
CVE-2019-1322 può essere utilizzata per elevare i privilegi dell'utente del servizio locale a utente del sistema locale.
Pertanto, la combinazione di entrambe le CVE in un unico exploit consente di elevare i privilegi di qualsiasi utente locale a utente di sistema.
Queste vulnerabilità interessano i computer con Microsoft Windows 10 1803 e versioni successive che non sono stati aggiornati all'ultima patch o alla patch di aggiornamento della sicurezza del 12 novembre 2019 [1][2].
Effetto potenziale
È molto pericoloso per le organizzazioni perché ci sono molti modi per accedere a qualsiasi macchina all'interno di un'organizzazione. Ad esempio, in un'organizzazione che utilizza un controller di dominio, qualsiasi utente può accedere a qualsiasi macchina del dominio se vi ha accesso fisico. Può accedere solo ai dati limitati al suo account utente sulla macchina. Ma sfruttando queste vulnerabilità, può creare processi elevati per:
- Aggiungere nuovi account utente al gruppo Amministrazione per accedere alle risorse riservate.
- Installare backdoor e programmi dannosi sul computer della vittima per sfruttarli successivamente.
- Visualizzare, modificare o cancellare qualsiasi dato.
Come OPSWAT vi aiuta a rilevare le vulnerabilità
MetaDefender Access è in grado di rilevare i dispositivi che presentano le vulnerabilità e di fornire istruzioni per la correzione.
Dopo aver installato MetaDefender EndpointMetaDefender Endpoint rileva le vulnerabilità sugli endpoint e le segnala a MetaDefender Access. MetaDefender Access analizzerà i dati e notificherà agli utenti finali l'eventuale presenza di vulnerabilità, insieme alle istruzioni utili per rimediare a quelle rilevate. Gli amministratori possono anche gestire tutti i dispositivi vulnerabili tramite la console web MetaDefender Access.
MetaDefender Core con la tecnologia di file-based vulnerability assessment è in grado di rilevare le vulnerabilità nei file binari sugli endpoint. MetaDefender Core fornisce API che possono essere utilizzate per integrarsi con altri servizi di scansione dei file. Ad esempio, la scansione dei file in entrata e in uscita dalla rete aziendale.
- Se il file vulnerabile si trova tra i file di sistema, è un segno che è necessario aggiornare il sistema.
- Se i file vulnerabili sono quelli di un programma software, è necessario aggiornare il software o considerare la possibilità di disinstallarlo temporaneamente.
- Se un programma di installazione è vulnerabile, non deve essere installato su nessun computer dell'organizzazione.
- Se un file di libreria nel vostro progetto è vulnerabile, dovreste trovare l'ultima versione patchata della libreria o smettere di usarla se non c'è una patch per le vulnerabilità.
Come sfruttare?
Il codice di exploit per questa vulnerabilità si trova all'indirizzo https://www.exploit-db.com/exploits/47684, come modulo del framework Metasploit di Rapid7 [3].
Demo dell'exploit:
- Macchina dell'attaccante: Kali Linux.
- Macchina vittima: Windows 10 1803 x64
- La demo presuppone che l'attaccante abbia già accesso al computer della vittima.
Bonifica
Si consiglia vivamente di mantenere sempre aggiornato Windows, in particolare gli aggiornamenti relativi alla sicurezza (KB), o almeno di applicare le patch di sicurezza fino a novembre 2019.
Riferimenti
[1] "CVE-2019-1405 | Windows UPnP Service Elevation of Privilege Vulnerability". Disponibile: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] "CVE-2019-1322 | Microsoft Windows Elevation of Privilege Vulnerability". Disponibile: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Metasploit di Rapid7". Disponibile: https://www.metasploit.com/
