Подробности уязвимости в Microsoft Utility Manager

Вчера Microsoft выпустила исправление, которое устраняло возможность получения привилегий администратора через Microsoft Utility Manager. Сегодня раскрываются подробности обнаруженной уязвимости.

Нажимая комбинацию клавиш '<windows key>+U', пользователь может запустить Windows Utility Manager. Процесс “utility manager”, запущенный процессом Winlogon, запускается с 'system' привилегиями в рабочем столе пользователя.
utility manager может быть также запущен перед входом в систему, нажимая <windows key>+U.

Главное окно Utility Manager управление ListView, которое отображает доступные средства достижимости (accessibility). Windows сообщения, посланные этому управлению, должным образом не проверяются, что позволяет атакующему выполнять множество опасных взаимодействий с процессом Utility Manager.

Несколько интересных сообщений в этом контексте LVM_SORTITEMS и LVM_SORTITEMSEX сообщения, которые инструктируют управление “сортировать” содержание, основываясь на функции обратного вызова (callback function), адрес которой определен в сообщении.

Изменяя текст окна, и затем посылая LVM_SORTITEMS сообщение в список управления, возможно заставить процесс Utility Manager выполнить код, представленный низко привилегированным пользователем. Этот код будет выполнен с привилегиями local 'system' учетной записи.

Необходимый код эксплоита функционально эквивалентен предыдущему 'shatter'  коду, с единственным существенным различием, являющимся в использовании 'LVM_SORTITEMS' сообщения, вместо 'WM_TIMER' сообщения. 

Уязвимость обнаружена в Windows 2000 SP3