DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

Новость Найден простой способ сохранения присутствия на ПК Windows

Apollon

Ветеран

Apollon

Ветеран
Статус
Offline
Регистрация
21 Апр 2018
Сообщения
892
Реакции
3
Покупки через Гарант
0
Продажи через Гарант
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Исследователь в области безопасности Себастьян Кастро (Sebastián Castro) описал метод, позволяющий получить права администратора на компьютере под управлением ОС Windows и сохранения присутствия на системе после ее перезагрузки. Техника, получившая название RID Hijacking, весьма проста в использовании и основана на эксплуатации одного из параметров учетных записей Windows.

Речь идет об уникальных для каждой учетной записи числах, называемых относительными идентификаторами (Relative Identifier, RID). Для встроенных аккаунтов RID предопределены, к примеру, у учетной записи администратора RID всегда равен 500, а у гостевой учетной записи - 501.

Кастро обнаружил, что изменив ключи реестра, хранящие информацию о каждой учетной записи Windows, возможно модифицировать связанный с аккаунтом идентификатор и присвоить ему другой RID. С помощью данной техники невозможно удаленно заразить систему, но если у злоумышленника уже имеется доступ к компьютеру, он может присвоить права администратора учетной записи низкого уровня и таким образом получить доступ с полными системными привилегиями. Поскольку значения ключей реестра сохраняются после перезагрузки, сохраняются также и любые изменения RID учетной записи.

Метод был успешно протестирован на системах под управлением различных версий Windows - от XP до 10 и от Server 2003 до Server 2016. Теоретически, техника может работать и на компьютерах, использующих более ранние версии ОС.

По словам исследователя, рядовой пользователь вряд ли заметит атаку, но ее можно легко обнаружить при проведении компьютерной экспертизы, правда, нужно знать, что искать.

«Стал ли компьютер жертвой RID hijacking возможно проверить, проанализировав реестр Windows и проверив несоответствия в Диспетчере учетных записей безопасности», - отметил эксперт в интервью изданию ZDNet. К примеру, на вмешательство может указывать RID 500, установленный в гостевой учетной записи.

Примечательно, что Кастро описал данную технику еще в декабре прошлого года, однако его публикация не привлекла внимания ни СМИ, ни, как ни странно, злоумышленников, которые обычно весьма оперативно берут на вооружение подобные техники. Эксперт проинформировал о своей находке Microsoft, однако компания проигнорировала его сообщение и не исправила уязвимость.

Ниже представлено видео с демонстрацией техники RID hijacking.
 
Сверху