A Windows jó ideje velünk van, az idő előrehaladtával egyre komplexebb, egyre bonyolultabb lett. Nem foglalok állást ebben az írásban, hogy ez jó-e, vagy sem - nyilván van véleményem, de a mondanivaló szempontjából irreleváns.
Sokkal inkább csak azért említettem a fejlődési pályát, hogy könnyebben kontextusba lehessen helyezni a felvetett problémát - ami nem is nagyon új, de most előtérbe került, úgy a védelmi oldalon, mint a Darkneten.
Hirdetés
Nem tudom, hogy az emlékeim csalnak-e meg, de úgy emlékszem, talán már NT4 idején is lehetett mandatory user profile-okat létrehozni. Ez a "kötelezőség" tulajdonképpen annyit jelent, hogy az NTUSER.MAN file csak olvasható. Nem, nem írtam el, az NTUSER.DAT az, amivel a felhasználók többnyire találkoznak. Ebben az állományban tárolódik minden felhasználói szintű beállítás és amikor valaki kilép a rendszerből, vagy leállítja a számítógépet, az NTUDER.DAT frissül. Ellenben ha a felhasználó profilkönyvtárában NTUSER.MAN van, ilyenkor minden egyedi beállítás megy a szemétbe és a következő indítás során "tiszta lappal" kezd a felhasználó.
E két file tartalma tulajdonképpen a registry HKCU ága bináris formában.
A probléma
A biztonsági probléma itt következik: ha egy támadó hozzáfér az adott számítógépen lévő felhasználói profilkönyvtárakhoz és el tud helyezni egy ilyen állományt, akkor a legenyhébb gond a denial-of-service, a sokkal nagyobb pedig az elérhető perzisztencia. Nyilvánvalóan egy támadó számára ideális, ha tudja, hogy a felhasználónak milyen beállításai vannak és ezekhez biggyeszt hozzá olyasmit, amivel biztosítani tudja a kapcsolatban maradást a fertőzött géppel. Mivel az NTUSER.MAN - mint írtam - csak olvasható, ezért akármilyen beállítást is változtat a felhasználó, azok eldobódnak és visszaállnak a "kötelezők" - igen, a perzisztencia is. A támadó számára az a legjobb, hogy ehhez nem feltétlenül kell felhasználói beavatkozás, bár úgy nyilván könnyebb eljuttatni a preparált állományt az áldozat gépére.
Detektálható?
Nyilván ilyenkor az enterspájz user/sysadmin azonnal felveti, hogy nem probléma, majd az EDR megfogja. Nos, nem. Nincs reg hívás, amire minden EDR ugrana akkorát, hogy helyből az Eiffel-tornyot is átugraná függőlegesen... Természetesen detektálható, de nem EDR-ral. File rendszer auditot kell beállítani és amint ilyen file jön létre, arra felhívni a SIEM figyelmét.
Magánvélemény
Engem ez a helyzet kicsit a Windows 7-es időkre és a Shellshockra emlékeztet. A Windows 7 minden külső eszköz nélkül törhető volt, ha volt fizikai hozzáférés a géphez, hiszen a belépő oldalon minden egyes objektum mögött valamilyen futtatható állomány állt. Itt most nem is feltétlenül kell fizikai hozzáférés a géphez, a hasonlóságnál itt arra akartam utalni: vajon hány olyan egyéb futtatható állományt olvas fel és hajt végre a Windows, ami mindenféle kérés/kérdés nélkül történik, hány egyéb potenciális belépési pont létezik még? Nem lenne meglepő, ha kiderülne, hogy még vannak ilyenek, nyilvánvalóan simaliba lehet a komplexitásból fakadóan. Védekezni viszont kell, ezért ha még van, akkor derüljön ki, minél gyorsabban.
FIGYELEM!
Ez az írás azzal a céllal készült, hogy felhívja a figyelmet egy biztonsági problémára. A leírtak engedély nélküli alkalmazása büntetőjogi felelősséget vonhat maga után, amiért a szerző nem vállal felelősséget!
![;]](http://cdn.rios.hu/dl/s/v1.gif)
