ГлавнаябезопасностьГрупповая политика Windows: ошибка позволяет злоумышленникам получить права администратора

Групповая политика Windows: ошибка позволяет злоумышленникам получить права администратора

Η Microsoft исправлена ​​ошибка, найденная во всех текущих версии и позволяет злоумышленникам воспользоваться групповой политикой Windows для получения полного контроля над компьютером. Эта ошибка, обнаруженная в групповой политике Windows, влияет на все версии Windows, начиная с Windows Server 2008. Администраторы Windows могут управлять всеми ими удаленно техника Windows в сети через функцию «Групповая политика». В частности, эта функция позволяет администраторам создавать централизованную политику глобальной конфигурации для своей организации, которая перенаправляется на все устройства Windows в их сети. Эти политики позволяют администратору контролировать использование компьютера, например отключать настройки в приложенийзапретить запуск приложений, включение и отключение функций Windows и даже разработку одинаковых обоев на любом компьютере с Windows.

Для управления новыми групповыми политиками Windows, устройства Windows используют его обслуживание «Клиент групповой политики» или «gpsvc», который будет регулярно подключаться к контроллеру домена и проверять наличие новых обновления групповые политики. Для правильной реализации этих новых групповых политик служба «gpsvc» настроена для работы с разрешениями «СИСТЕМА», которые предоставляют те же разрешения и разрешения, что и учетная запись администратора.

Служба клиента групповой политики позволяет злоумышленникам повышать привилегии
Как часть обновлений безопасность во вторник, июнь 2020 года, Microsoft исправила CVE-2020-1317 (ошибка масштабирования привилегий в групповой политике), которая позволяет локальным злоумышленникам выполнять любую команду с правами администратора. Эта ошибка была обнаружена компанией по кибербезопасности. CyberArk, который идентифицировал атаку на символическую ссылку, в файле, используемом для обновления групповой политики для получения повышенных привилегий. Эта ошибка может повлиять на любой компьютер Windows (2008 или более поздняя версия). При запуске обновления группы политик, которое применяется ко всем устройствам в организации, Windows запишет новые политики на компьютер в подпапке папки.% LocalAppData%, для которого лицензируется каждый пользователь, включая типичного пользователя. Например, если политика связана с принтерами, она будет храниться в: C: \ Users \ [пользователь] \ AppData \ Local \ Microsoft \ Групповая политика \ History {szGPOName. \ USER-SID \ Preferences \ Printers \ Printers.xml. Имея полный доступ CyberArk обнаружила, что в файле, который, как известно, используется привилегированным процессом «SYSTEM», они могут создать символическую ссылку между файлом в команде RPC, выполняющей DLL.

Поскольку служба клиента групповой политики работает с разрешениями «СИСТЕМА», когда она пытается применить политики в этом файле, она будет выполнять любую DLL, которая требуется разрешениям «СИСТЕМА». Чтобы активировать эту ошибку, местные злоумышленники могут запустить gpupdate.exe, который вручную синхронизирует групповую политику. Эта команда затем запустит обновление политики и выполнит вредоносную DLL злоумышленника.

Согласно CyberArk, шаги для этого эксплуатация этой ошибки являются следующие:

  • Введите группу политик GUID, в которой вы находитесь C: \ Users \ user \ AppData \ Local \ Microsoft \ Групповая политика \ История \.
  • Если у вас много GUID, проверьте, какой каталог был недавно обновлен.
  • Перейдите в этот каталог и подкаталог, который является пользователем SID.
  • Посмотрите на последний измененный список. Это будет отличаться в вашей среде.
  • Удалить файл Printers.xmlв каталоге принтеров.
  • Создать точку подключения NTFS в RPC Control + символическая ссылка Диспетчер объектов с включенным Printers.xml C: \ Windows \ System32 \ everything.dll.
  • Откройте ваш любимый терминал и запустите gpupdate.

Поскольку обычные пользователи без привилегий по-прежнему могут создавать файлы в произвольных местах, злоумышленники могут в конечном итоге использовать эту ошибку для повышения своих привилегий. Поскольку эта ошибка затрагивает миллионы, если не миллиарды компьютеров, это серьезный недостаток безопасности, который должен быть устранен всеми администраторами Windows как можно скорее. CyberArk раскрыл эту ошибку Microsoft в июне прошлого года, и теперь Microsoft исправила ее с помощью своих обновлений безопасности. Патч вторник июня 2020 г.

Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ