Πέμπτη, 9 Ιουλίου, 04:32
дома безопасность Групповая политика Windows: ошибка позволяет злоумышленникам получить права администратора

Групповая политика Windows: ошибка позволяет злоумышленникам получить права администратора

Η Microsoft исправлена ​​ошибка, найденная во всех текущих версии и позволяет злоумышленникам воспользоваться групповой политикой Windows для получения полного контроля над компьютером. Эта ошибка, обнаруженная в групповой политике Windows, влияет на все версии Windows, начиная с Windows Server 2008. Администраторы Windows могут управлять всеми ими удаленно техника Windows в сети через функцию «Групповая политика». В частности, эта функция позволяет администраторам создавать централизованную политику глобальной конфигурации для своей организации, которая перенаправляется на все устройства Windows в их сети. Эти политики позволяют администратору контролировать использование компьютера, например отключать настройки в приложенийзапретить запуск приложений, включение и отключение функций Windows и даже разработку одинаковых обоев на любом компьютере с Windows.

Для управления новыми групповыми политиками Windows, устройства Windows используют его обслуживание «Клиент групповой политики» или «gpsvc», который будет регулярно подключаться к контроллеру домена и проверять наличие новых обновления групповые политики. Для правильной реализации этих новых групповых политик служба «gpsvc» настроена для работы с разрешениями «СИСТЕМА», которые предоставляют те же разрешения и разрешения, что и учетная запись администратора.

Служба клиента групповой политики позволяет злоумышленникам повышать привилегии
Как часть обновлений безопасность во вторник, июнь 2020 года, Microsoft исправила CVE-2020-1317 (ошибка масштабирования привилегий в групповой политике), которая позволяет локальным злоумышленникам выполнять любую команду с правами администратора. Эта ошибка была обнаружена компанией по кибербезопасности. CyberArk, который идентифицировал атаку на символическую ссылку, в файле, используемом для обновления групповой политики для получения повышенных привилегий. Эта ошибка может повлиять на любой компьютер Windows (2008 или более поздняя версия). При запуске обновления группы политик, которое применяется ко всем устройствам в организации, Windows запишет новые политики на компьютер в подпапке папки.% LocalAppData%, для которого лицензируется каждый пользователь, включая типичного пользователя. Например, если политика связана с принтерами, она будет храниться в: C: \ Users \ [пользователь] \ AppData \ Local \ Microsoft \ Групповая политика \ History {szGPOName. \ USER-SID \ Preferences \ Printers \ Printers.xml. Имея полный доступ CyberArk обнаружила, что в файле, который, как известно, используется привилегированным процессом «SYSTEM», они могут создать символическую ссылку между файлом в команде RPC, выполняющей DLL.

Поскольку служба клиента групповой политики работает с разрешениями «СИСТЕМА», когда она пытается применить политики в этом файле, она будет выполнять любую DLL, которая требуется разрешениям «СИСТЕМА». Чтобы активировать эту ошибку, местные злоумышленники могут запустить gpupdate.exe, который вручную синхронизирует групповую политику. Эта команда затем запустит обновление политики и выполнит вредоносную DLL злоумышленника.

Согласно CyberArk, шаги для этого эксплуатация этой ошибки являются следующие:

  • Введите группу политик GUID, в которой вы находитесь C: \ Users \ user \ AppData \ Local \ Microsoft \ Групповая политика \ История \.
  • Если у вас много GUID, проверьте, какой каталог был недавно обновлен.
  • Перейдите в этот каталог и подкаталог, который является пользователем SID.
  • Посмотрите на последний измененный список. Это будет отличаться в вашей среде.
  • Удалить файл Printers.xmlв каталоге принтеров.
  • Создать точку подключения NTFS в RPC Control + символическая ссылка Диспетчер объектов с включенным Printers.xml C: \ Windows \ System32 \ everything.dll.
  • Откройте ваш любимый терминал и запустите gpupdate.

Поскольку обычные пользователи без привилегий по-прежнему могут создавать файлы в произвольных местах, злоумышленники могут в конечном итоге использовать эту ошибку для повышения своих привилегий. Поскольку эта ошибка затрагивает миллионы, если не миллиарды компьютеров, это серьезный недостаток безопасности, который должен быть устранен всеми администраторами Windows как можно скорее. CyberArk раскрыл эту ошибку Microsoft в июне прошлого года, и теперь Microsoft исправила ее с помощью своих обновлений безопасности. Патч вторник июня 2020 г.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ

SpaceX: запуск спутников в прямом эфире

SpaceX снова попытается запустить свою 10-ю команду спутников связи Starlink на вершине ракеты Falcon ...

Рискованный домен blogspot.in выставлен на продажу, потому что срок его действия истек

Миллионы проиндексированных URL-адресов blogspot.in подвержены риску использования в злонамеренных целях из-за того, что Google допустил истечение срока действия домена с ...

15 миллиардов учетных записей доступны на нелегальных форумах

Огромное количество учетных данных, которые позволяют получить доступ к банковским счетам и потоковым службам, доступны в темной сети.

Uber boat: корабль Uber в сотрудничестве с Thames Clippers

Uber обнародовал свой следующий план переезда, и он посвящен работе с Thames Clippers и строительству ...

Xiaomi: добавляет новые функции в приложение MIUI 12 Camera

Сегодня устройства Google Pixel известны непревзойденными фотографиями, которые они создают. Однако пока ...

Распознавание лиц: более 12 миллиардов долларов США к 2026 году

В эпоху цифровой трансформации все больше и больше организаций склонны использовать технологии распознавания лиц для ряда приложений в ...

Анализ человеческого риска: предотвращает человеческие ошибки, ведущие к кибератакам

Организации тратят много времени и денег на сетевую безопасность, пытаясь предотвратить возможные кибератаки. Однако этого недостаточно ...

Карты Google: их новая функция покажет светофор!

Карты Google используются миллионами людей и помогают им ежедневно перемещаться куда угодно.

JioMeet обновлен дополнительными функциями безопасности

Η δωρεάν εφαρμογή τηλεδιάσκεψης της Reliance Industries, JioMeet την Τρίτη πρόσθεσε πρόσθετα χαρακτηριστικά ασφαλείας για να αποτρέψει επιθέσεις σαν και αυτές που έγιναν...

Вредоносная программа Purple Fox была обновлена ​​и нацелена на новые уязвимости

Οι προγραμματιστές πίσω από το malware λήψης αρχείων Purple Fox αναβάθμισαν πρόσφατα τις λειτουργίες τους και τώρα στοχεύουν δύο νέες ευπάθειες για...