Поддержка Red Hot Cyber выявила уязвимость в MSI Center, которая позволяет злоумышленникам манипулировать файловой системой и обманывать программное обеспечение для перезаписи или удаления критически важных файлов с повышенными привилегиями. Таким образом, атакующий может получить контроль над системой и выполнять любые действия, включая установку вредоносного ПО, кражу конфиденциальных данных или даже выполнение произвольного кода с наивысшим уровнем привилегий. Все это достигается за счет использования символических ссылок (symlinks), которые обманывают операционную систему.
Уязвимые версии
Все версии MSI Center до и включая 2.0.36.0 уязвимы для этой атаки. Это означает, что значительное количество систем Windows может быть подвержено этой серьезной угрозе.
Этапы эксплуатации уязвимости
- Создание OpLock каталога: Пользователь с низкими привилегиями создает каталог в доступном месте и создает внутри него файл. Затем пользователь использует системный инструмент для установки OpLock (обязательной блокировки) на ранее созданный файл. OpLock предотвращает доступ других процессов к файлу или его изменение до тех пор, пока блокировка не будет снята.
- Активация операции записи через MSI Center: Функция "Экспорт информации о системе" в MSI Center используется для запуска операции записи в файл с OpLock.
- Замена оригинального файла на символическую ссылку: Когда MSI Center пытается записать данные в файл с OpLock, атакующий заменяет его на символическую ссылку, указывающую на целевой файл (например, критический системный файл).
- Использование высоких привилегий MSI Center: Когда MSI Center пытается завершить операцию записи, он не сможет получить доступ к оригинальному файлу из-за OpLock. Однако из-за ранее созданной символической ссылки MSI Center запишет данные в целевой файл, указанный ссылкой. Поскольку MSI Center работает с привилегиями NT AUTHORITYSYSTEM, атакующий получает полный контроль над целевым файлом, потенциально перезаписывая его вредоносным кодом или удаляя его.
В итоге эта уязвимость использует комбинацию OpLocks и символических ссылок для обмана MSI Center, заставляя его выполнять действия с высокими привилегиями на произвольном целевом файле. Пользователь с низкими привилегиями может использовать этот метод для получения контроля над системой, установки вредоносного ПО, кражи конфиденциальных данных или нанесения другого серьезного ущерба.
Возможные злоупотребления
- Компрометация критических файлов: Атакующий может произвольно перезаписывать или удалять файлы с высокими привилегиями, что может привести к потенциально непоправимому ущербу операционной системе, приложениям или конфиденциальным данным.
- Тихая установка вредоносного ПО: Атакующий может использовать повышение привилегий для установки вредоносного ПО без административных прав, компрометируя безопасность всех пользователей системы. Более того, эксплуатация MSI Center, подписанного бинарного файла Windows, позволяет обходить средства мониторинга безопасности или антивирусные инструменты. Эта техника использования стандартных бинарных файлов Windows известна как Living-Off-The-Land (LOTL).
- Выполнение произвольного кода: Атакующий может выполнять произвольный код с привилегиями SYSTEM, получая полный контроль над системой и потенциально устанавливая постоянные бэкдоры или крадя критические данные.
- Компрометация запуска системы: Атакующий может размещать вредоносные полезные нагрузки в местах запуска системы, автоматически активируя их при входе администратора, компрометируя всю систему.
MSI устранила уязвимость в версии MSI Center 2.0.38.0, выпущенной 3 июля 2024 года. Немедленное обновление до этой версии критически важно для снижения риска.