- 26,351
- 46
- 8 Ноя 2022
Microsoft считает, что всё нормально.
Специалисты Лаборатории Касперского нашли в Windows способ незаметно получить полный контроль над системой, и закрывать уязвимость пока никто не спешит. Достаточно подменить один системный сервис – и компьютер сам отдаст злоумышленнику права уровня SYSTEM.
Речь идёт о механизме удалённого вызова процедур, который в Windows отвечает за обмен данными между процессами. Через него программы и службы вызывают функции друг у друга, даже если работают в разных контекстах. Система сложная и давно известна как источник проблем с безопасностью.
Новая работа описывает уязвимость в архитектуре этого механизма. Атака позволяет повысить привилегии до максимального уровня, если у процесса уже есть право на подмену пользователя. Такое право есть у ряда служебных учётных записей, например у сетевых сервисов. Несмотря на то что Microsoft была корректно уведомлена об уязвимости, корпорация не выпустила исправление и сочла проблему умеренной по уровню риска.
Суть атаки проста. В Windows многие службы общаются друг с другом через RPC (удалённый вызов процедур, Remote Procedure Call). Если нужный сервис не запущен, система всё равно пытается к нему подключиться и получает ошибку. В этот момент злоумышленник может подставить собственный сервер с тем же интерфейсом и «перехватить» запрос.
Дальше срабатывает особенность механизма подмены пользователя. Сервер может временно принять права клиента, который к нему обратился. Если таким клиентом оказывается системная служба или администратор, злоумышленник получает те же полномочия.
Один из примеров связан со службой групповой политики. Когда система обновляет настройки, она пытается связаться со службой удалённого рабочего стола. Если та отключена, запрос можно перехватить. Подставной сервер принимает соединение и «примеряет» права SYSTEM . В результате злоумышленник поднимает свои привилегии с уровня сетевой службы до максимального.
Похожий сценарий работает и без принуждения. Например, браузер Microsoft Edge при запуске сам инициирует такой запрос. Достаточно дождаться, пока администратор откроет браузер – и вредоносный сервер получит его права. Есть и полностью автоматические варианты. Некоторые системные службы регулярно пытаются связаться с удалённым рабочим столом в фоне. В таком случае злоумышленнику остаётся только ждать: через несколько минут система сама отдаст нужный запрос.
Ещё один сценарий затрагивает клиент DHCP. Если отключить соответствующую службу и подменить её интерфейс, запуск обычной команды <code>ipconfig</code> приведёт к тому, что права администратора перейдут к злоумышленнику. Аналогичная логика работает со службой времени Windows: утилита сначала пытается подключиться к несуществующему каналу, и его можно занять.
Проблема глубже, чем кажется. Windows не проверяет, настоящий ли RPC-сервер принимает запрос. Любой процесс может поднять сервис с нужным именем и интерфейсом. С учётом того, как активно RPC используется в системе, потенциальных точек для атаки очень много.
Чтобы найти такие места, специалисты анализировали журналы системы и отслеживали неудачные RPC-запросы. Особый интерес представляют случаи, когда высокопривилегированный процесс пытается подключиться к несуществующему сервису с возможностью подмены пользователя. Каждый такой сбой может стать точкой входа.
Полностью закрыть проблему без того, чтобы изменить архитектуру, невозможно. Пока можно лишь снизить риск. Например, включать отключённые службы, чтобы не оставлять «пустые» точки подключения, и не раздавать лишним процессам право подмены пользователя. Уязвимость проверили на Windows Server 2022 и Windows Server 2025 с последними обновлениями. Судя по архитектуре, проблема затрагивает и другие версии Windows.
Специалисты Лаборатории Касперского нашли в Windows способ незаметно получить полный контроль над системой, и закрывать уязвимость пока никто не спешит. Достаточно подменить один системный сервис – и компьютер сам отдаст злоумышленнику права уровня SYSTEM.
Речь идёт о механизме удалённого вызова процедур, который в Windows отвечает за обмен данными между процессами. Через него программы и службы вызывают функции друг у друга, даже если работают в разных контекстах. Система сложная и давно известна как источник проблем с безопасностью.
Новая работа описывает уязвимость в архитектуре этого механизма. Атака позволяет повысить привилегии до максимального уровня, если у процесса уже есть право на подмену пользователя. Такое право есть у ряда служебных учётных записей, например у сетевых сервисов. Несмотря на то что Microsoft была корректно уведомлена об уязвимости, корпорация не выпустила исправление и сочла проблему умеренной по уровню риска.
Суть атаки проста. В Windows многие службы общаются друг с другом через RPC (удалённый вызов процедур, Remote Procedure Call). Если нужный сервис не запущен, система всё равно пытается к нему подключиться и получает ошибку. В этот момент злоумышленник может подставить собственный сервер с тем же интерфейсом и «перехватить» запрос.
Дальше срабатывает особенность механизма подмены пользователя. Сервер может временно принять права клиента, который к нему обратился. Если таким клиентом оказывается системная служба или администратор, злоумышленник получает те же полномочия.
Один из примеров связан со службой групповой политики. Когда система обновляет настройки, она пытается связаться со службой удалённого рабочего стола. Если та отключена, запрос можно перехватить. Подставной сервер принимает соединение и «примеряет» права SYSTEM . В результате злоумышленник поднимает свои привилегии с уровня сетевой службы до максимального.
Похожий сценарий работает и без принуждения. Например, браузер Microsoft Edge при запуске сам инициирует такой запрос. Достаточно дождаться, пока администратор откроет браузер – и вредоносный сервер получит его права. Есть и полностью автоматические варианты. Некоторые системные службы регулярно пытаются связаться с удалённым рабочим столом в фоне. В таком случае злоумышленнику остаётся только ждать: через несколько минут система сама отдаст нужный запрос.
Ещё один сценарий затрагивает клиент DHCP. Если отключить соответствующую службу и подменить её интерфейс, запуск обычной команды <code>ipconfig</code> приведёт к тому, что права администратора перейдут к злоумышленнику. Аналогичная логика работает со службой времени Windows: утилита сначала пытается подключиться к несуществующему каналу, и его можно занять.
Проблема глубже, чем кажется. Windows не проверяет, настоящий ли RPC-сервер принимает запрос. Любой процесс может поднять сервис с нужным именем и интерфейсом. С учётом того, как активно RPC используется в системе, потенциальных точек для атаки очень много.
Чтобы найти такие места, специалисты анализировали журналы системы и отслеживали неудачные RPC-запросы. Особый интерес представляют случаи, когда высокопривилегированный процесс пытается подключиться к несуществующему сервису с возможностью подмены пользователя. Каждый такой сбой может стать точкой входа.
Полностью закрыть проблему без того, чтобы изменить архитектуру, невозможно. Пока можно лишь снизить риск. Например, включать отключённые службы, чтобы не оставлять «пустые» точки подключения, и не раздавать лишним процессам право подмены пользователя. Уязвимость проверили на Windows Server 2022 и Windows Server 2025 с последними обновлениями. Судя по архитектуре, проблема затрагивает и другие версии Windows.
- Источник новости
- www.securitylab.ru
