Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Содержание:

Корпорация Microsoft разместила данные о критических уязвимостях в ОС Windows, позволяющих киберпреступникам выполнять определенные действия на устройстве жертвы. Уязвимость это возможность неавторизованному пользователю подключиться к машине жертвы, а после того, как уязвимости удачно срабатывают, злоумышленники имеют возможность устанавливать, удалять и изменять программы и данные.

Базовым подходом к безопасности операционных систем Windows выступает процесс «закаливания операционной системы», а уязвимости в ОС Windows и ПО были одними из сильных направлений тестов против взломов. В этом материале мы попробуем разобраться, что такое закаливание ОП и как функционируют 3 вида уязвимостей в системе Windows и MS Office, раскрытые в этом году.

Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Про уязвимости

Закаливание операционной системы (ОС) – один из важнейших шагов по надежной безопасности информации. Под понятием закаливания ОС будем понимать, что при обнаружении новых уязвимостей в ОС они фиксируются и исправляются, своего рода, machine learning, но сбоку ОС. По мере того как операционные системы развиваются с течением времени и добавляются больше возможностей, закалку нужно корректировать, чтобы не отставать от изменений в развитии технологий ОС.

Таким образом, необходимы более высокие требования и более перспективные методы защиты ОС, чем это было раньше, чтобы злоумышленники не могли обойти защитные функции и внести злокачественные коррективы в функциональные возможности ОС.

Каждый год, несмотря на то, что процессы разработки ПО совершенствуются и происходит внедрение систем защиты, обнародованные эксплойты увеличиваются тоже. Поскольку тестирование уязвимостей операционной системы Windows проводится для сетей корпоративного типа, имеет смысл включить в список такие программы:

  • Windows 7,8,10
  • Windows Server 2016, 2019
  • Сервер обмена
  • Сервер Sharepoint
  • Приложения Microsoft Office
  • Atlassian Confluence
  • Atlassian Jira
  • git
  • WordPress

Возможность быстрого поиска в системах обнаруживает тысячи открытых уязвимостей операционной системы Windows для продуктов, которые перечислены выше. Определим топ-3 из них:

CVE-2021-1727 (для Windows)

CVE-2021-1732 (для Windows)

CVE-2021-40444 (для microsoft Office)

Уязвимость CVE-2021-1727

По данным службы Windows Installer, уязвимость находится в Windows. Если ее использовать можно повысить полномочия до предела системного пользователя. По-другому, это компромисс операционной системы, когда описание уязвимости недоступно. К системам уязвимостей относятся Windows 7, 8, 10 до сборки 2004 года.

Если вы ищете информацию между готовыми эксплойтами, то первый по ссылке написан на C ++. Таким образом, PoC поставляется с исходным кодом, содержащим необходимые комментарии. Используя код, вы можете создать описание алгоритма эксплойта верхнего уровня:

Main функция будет содержать практически весь код в цикле, имеющем условие, позволяющее читать ключ реестра SYSTEM\CurrentControlSet\Services\Fax\ImagePath. Здесь поиск происходит с таким значением — %systemroot%\Temp\asmae.exe

На строчке 76 и 77 в цикле устанавливается уровень приоритета для общего процесса и отдельно рабочего потока.

Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Это означает, что эксплойт может быть использован для проблемы типа Race Condition.

Для подтверждения этого можно использовать следующий цикл загрузки:

Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Ключевая эксплуатация начнется параллельно такой команде:

Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Итак, у нас есть эксплойт состояния гонки, который использует эту уязвимость, перезаписывая исполняемый файл для службы в Windows. В этом случае используется услуга «Факс».Обратите внимание, что в репозитории уже есть 2 дока, которые будут использоваться для выполнения загрузки: asmae.msi и asmae.exe.

Уязвимость CVE-2021-1732

Речь идет об уязвимости в системе Win32k, одной из популярных подсистем повышения привилегий. Основные трудности, с которыми сталкивается эта подсистема, — это десинхронизация создания и деактивация объекта, с которым работает алгоритм. В большинстве случаев это часть универсального интерфейса, созданного со случайным значением для параметров инициализации.

Эксплойт использует довольно простой алгоритм, но из-за встроенной в операционную систему подсистемы защиты запуск алгоритма становится довольно нетривиальной задачей.

Затем, чтобы повысить права пользователя, эксплойт выполняет следующие шаги:

  1. Создание поддельных объектов системы Win32k.
  2. Использование уязвимости операционной системы с целью получения сопоставления оперативной памяти ядра операционной системы.
  3. Поиск первичного токена в памяти процесса.
  4. Изменение привилегий с помощью процесса-донора, обычно процесса System.exe.

С первого шага эксплойт использует поисковые возможности базовых адресов оперативной памяти. Это делается с помощью функции HmValidateHandle. На основе полученной информации функции ведется сбор примитива памяти:

Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Функционал SetWindowLongPtrA применяется как примитив для записи. Затем токен перезаписывается чтоб была возможность выполнения команды с повышенными привилегиями.

Уязвимость CVE-2021-40444

Уязвимость в модуле mshtml, используемом для ведения с областью разметки в операционной системе Windows. Самая известная уязвимость безопасности связана с тем, как используются приложения Microsoft Office. Вероятно, это одна из простейших уязвимостей системы безопасности, появившихся за последние несколько лет. Уязвимость быстро вызвала репликацию и использование большого числа фреймворков.

Суть этого типа уязвимости в том, что mshtml применяется для загрузки из сети шаблонов чтоб дальше иметь дело с документами Office. Кроме того, такие загрузки выполняются автоматически и без проверки.

В обычном сценарии, загружая шаблоны, можно функционировать с файлами xml / html, которые можно перемежать с архивами cab. Чтобы стриггерить этот вид уязвимости, эксплойты из репозиториев создают шаблон подложного типа и cab файл, выполняющий запуск команд для системы, которая имеет привилегии пользователя, открывшего документ.

Топ-3 уязвимости в ОС Windows и MS Office в 2021 году

Подходы к защите ОС

На сегодняшний день безопасность ОС основывается на следующих идеях:

  1. Предоставляется прямой или косвенный доступ к содержимому операционной системы. Например, это могут быть файлы на локальном диске, привилегированные системные вызовы, персональные данные владельцев учетных записей и службы, представленные запущенными программами;
  2. Можно разделить запросы от пользователей, авторизованных и неавторизованных, предоставив доступ, или же запретив его соответственно. Все это реализуется на уровне операционной системы.

Запросы делятся на типы:

  1. Внешняя безопасность (запросы из-за пределов компьютера). Это может быть авторизация из среды консоли или благодаря сетевому соединению. После ввода имени и логина пользователя происходит идентифицирующая его регистрация или же таких способов как магнитных карточек или биометрических данных.
  2. Внутренняя безопасность (работающие программы). Если программа уже включена, отсутствуют какие-либо ограничения. Однако следует отметить, что она имеет уникальный идентификатор для проверки запросов на ресурсы.

В дополнение к модели разрешить/запретить системы с повышенным уровнем безопасности также следят за деятельностью пользователей, позволяющей позже ответить на вопросы типа «Кто читал этот файл?»

Microsoft, защита от ATP Microsoft Defender и различные решения по безопасности

Microsoft образуют единый набор систем защиты предприятий до и после нарушения, который в основном интегрируется в конечную точку, личность, электронную почту и программы для обнаружения, предотвращения, исследования и автоматического реагирования на сложные атаки.

Рассмотрим основные подходы и методы, используемые сегодня для защиты Windows:

Использование встроенных средств защиты программного обеспечения.

Microsoft разработала интерфейс сканирования программного обеспечения antimalware scan interface (AMSI), который может улавливать вредоносные сценарии в памяти. Любое приложение может вызвать его, и любой зарегистрированный механизм антивирусного программного обеспечения может обрабатывать содержимое, поданное на AMSI.

Защита Active Directory

Active Directory(AD) становится еще более важной составляющей, поскольку организации продолжают перемещать свои рабочие нагрузки в облако. Стратегии, помогающие предприятиям избегать распространенных ошибок, и сводится к защите учетных данных администратора и изоляции критических ресурсов: быть в курсе обновлений программного обеспечения, особенно патчей, касающихся уязвимых мест эскалации привилегий; сегментировать сеть, чтобы злоумышленникам было легче продвигаться через боковые стороны.

Виртуализация для сдерживания атак

Microsoft представила направление обеспечения безопасности ОС, основанное на виртуализации virtualization-based security (VBS), где набор функций защиты, запечатанных в гипервизоре, в Windows 10.

Hyper-V имеет контроль над корневым разделом и может внедрять дополнительные ограничения и предоставлять безопасные услуги. Когда VBS включен, Hyper-V создает специализированную виртуальную машину с высоким уровнем доверия для выполнения команд безопасности. В отличие от других виртуальных машин эта специализированная машина защищена от корневого раздела. Windows 10 может обеспечить целостность кода бинарных файлов и скриптов в пользовательском режиме, а VBS обрабатывает код режима ядра.

Заключение

Популярность Windows также делает ее мишенью для вредоносных программ. Большинство новых вредоносных программ нацелены на уязвимости и незащищенные действия пользователей в операционной системе Windows. Обратите внимание, что не существует единого стандарта усиления, и защита не является двоичным выбором. Опыт работы с системой Windows следует рассматривать в контексте потребностей организации, а также с большой долей здравого смысла. Поэтому комплексный подход сегодня считается наиболее эффективным.

Изучение уязвимостей помогает более продуктивно использовать их во время тестирования на взлом. Не зная, что в результате применения какой-либо уязвимости происходит, может быть потрачено время, которого по-прежнему недостаточно для выполнения всех тестов.

Присоединяйся к DevEducation — стань востребованным специалистом и построй карьеру в IT!