November 2

Очередной обход UAC в Windows: CVE-2024-6769

Что случилось?

В последние недели активно бурление об новой уязвимости, известная как CVE-2024-6769, которая позволяет злоумышленникам обходить механизм контроля учетных записей (UAC) в операционной системе Windows. Этот механизм был разработан для повышения безопасности, ограничивая права пользователей и требуя подтверждения для выполнения определенных действий. Однако новая уязвимость в очередной раз ставит под сомнение эффективность этого защитного механизма.

Механизм UAC и его значение?

Контроль учетных записей (UAC) был внедрен в Windows с целью защиты систем от несанкционированного доступа и выполнения вредоносного кода. При попытке выполнить действия, требующие повышенных привилегий, пользователю отображается запрос на подтверждение. Однако злоумышленники нашли способ использовать уровни целостности для обхода этого механизма, что позволяет им выполнять код с повышенными правами без ведома пользователя.

Метод атаки

Атака основана на манипуляциях с уровнями целостности, которые определяют, какие действия может выполнять пользователь. Злоумышленники могут использовать эту уязвимость для пересечения границ пользователей, что приводит к выполнению кода с привилегиями администратора. Это создает серьезные риски для безопасности систем, так как позволяет атакующим получать доступ к критически важным данным и ресурсам.

Уязвимость CVE-2024-6769 представляет собой цепочку атак, которая позволяет злоумышленникам повышать свои привилегии в системах Windows, используя два основных метода: перехват DLL и отравление кэша активации.

Техническая реализация

  1. Перехват DLL:
    Злоумышленник использует функцию NtCreateSymbolicLinkObject для перенаправления корневого диска на контролируемую папку, например, с C:\ на C:\users\public. Это приводит к тому, что некоторые службы начинают загружать библиотеки из поддельной папки system32[1][2].
  2. Отравление кэша активации:
    Вторая стадия атаки включает использование механизма ALPC (Advanced Local Procedure Call) для взаимодействия с процессом CSRSS (Client/Server Runtime Subsystem). Атакующий может модифицировать кэш активации, что позволяет исполнять код с повышенными привилегиями без запроса UAC[2][3].

Оценка Microsoft

Интересно, что Microsoft не классифицирует данное поведение как уязвимость. Это вызывает бурление разнообразных масс цвета детской неожиданности.


Больше в TG (c) Nick Ognev


Сноски:

  1. CVE-2024-6769 | INCIBE-CERT
  2. fortra/CVE-2024-6769: Activation cache poisoning to ... - GitHub
  3. Microsoft Vulnerability CVE-2024-6769 Now Public on ...
  4. CoreLabs Articles - Core Security
  5. CVE-2024-6729 Detail - NVD
  6. CVE-2024-6769 Detail - NVD
  7. Novel Exploit Chain Enables Windows UAC Bypass - Dark Reading
  8. CVE-2024-6769 - CVE