События

Найден простой способ сохранения присутствия на ПК Windows

Найден простой способ сохранения присутствия на ПК Windows

Исследователь в области безопасности Себастьян Кастро (Sebastián Castro) описал метод, позволяющий получить права администратора на компьютере под управлением ОС Windows и сохранения присутствия на системе после ее перезагрузки. Техника, получившая название RID Hijacking, весьма проста в использовании и основана на эксплуатации одного из параметров учетных записей Windows.

Речь идет об уникальных для каждой учетной записи числах, называемых относительными идентификаторами (Relative Identifier, RID). Для встроенных аккаунтов RID предопределены, к примеру, у учетной записи администратора RID всегда равен 500, а у гостевой учетной записи - 501.

Кастро обнаружил, что изменив ключи реестра, хранящие информацию о каждой учетной записи Windows, возможно модифицировать связанный с аккаунтом идентификатор и присвоить ему другой RID. С помощью данной техники невозможно удаленно заразить систему, но если у злоумышленника уже имеется доступ к компьютеру, он может присвоить права администратора учетной записи низкого уровня и таким образом получить доступ с полными системными привилегиями. Поскольку значения ключей реестра сохраняются после перезагрузки, сохраняются также и любые изменения RID учетной записи.

Метод был успешно протестирован на системах под управлением различных версий Windows - от XP до 10 и от Server 2003 до Server 2016. Теоретически, техника может работать и на компьютерах, использующих более ранние версии ОС.

По словам исследователя, рядовой пользователь вряд ли заметит атаку, но ее можно легко обнаружить при проведении компьютерной экспертизы, правда, нужно знать, что искать.

«Стал ли компьютер жертвой RID hijacking возможно проверить, проанализировав реестр Windows и проверив несоответствия в Диспетчере учетных записей безопасности», - отметил эксперт в интервью изданию ZDNet. К примеру, на вмешательство может указывать RID 500, установленный в гостевой учетной записи.

Примечательно, что Кастро описал данную технику еще в декабре прошлого года, однако его публикация не привлекла внимания ни СМИ, ни, как ни странно, злоумышленников, которые обычно весьма оперативно берут на вооружение подобные техники. Эксперт проинформировал о своей находке Microsoft, однако компания проигнорировала его сообщение и не исправила уязвимость.

Ниже представлено видео с демонстрацией техники RID hijacking.

Источник

Автор: Сергей Куприянов
18.10.2018 (09:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.