Найден простой способ сохранения присутствия на ПК Windows

Найден простой способ сохранения присутствия на ПК Windows

Техника RID Hijacking основана на эксплуатации одного из параметров учетных записей Windows.

Исследователь в области безопасности Себастьян Кастро (Sebastián Castro) описал метод, позволяющий получить права администратора на компьютере под управлением ОС Windows и сохранить присутствие на системе после ее перезагрузки. Техника, получившая название RID Hijacking, весьма проста в использовании и основана на эксплуатации одного из параметров учетных записей Windows.

Речь идет об уникальных для каждой учетной записи числах, называемых относительными идентификаторами (Relative Identifier, RID). Для встроенных аккаунтов RID предопределены, к примеру, у учетной записи администратора RID всегда равен 500, а у гостевой учетной записи - 501.

Кастро обнаружил, что изменив ключи реестра, хранящие информацию о каждой учетной записи Windows, возможно модифицировать связанный с аккаунтом идентификатор и присвоить ему другой RID. С помощью данной техники невозможно удаленно заразить систему, но если у злоумышленника уже имеется доступ к компьютеру, он может присвоить права администратора учетной записи низкого уровня и таким образом получить доступ с полными системными привилегиями. Поскольку значения ключей реестра сохраняются после перезагрузки, сохраняются также и любые изменения RID учетной записи.

Метод был успешно протестирован на системах под управлением различных версий Windows - от XP до 10 и от Server 2003 до Server 2016. Теоретически, техника может работать и на компьютерах, использующих более ранние версии ОС.

По словам исследователя, рядовой пользователь вряд ли заметит атаку, но ее можно легко обнаружить при проведении компьютерной экспертизы, правда, нужно знать, что искать.

«Стал ли компьютер жертвой RID hijacking возможно проверить, проанализировав реестр Windows и проверив несоответствия в Диспетчере учетных записей безопасности», - отметил эксперт в интервью изданию ZDNet. К примеру, на вмешательство может указывать RID 500, установленный в гостевой учетной записи.

Примечательно, что Кастро описал данную технику еще в декабре прошлого года, однако его публикация не привлекла внимания ни СМИ, ни, как ни странно, злоумышленников, которые обычно весьма оперативно берут на вооружение подобные техники. Эксперт проинформировал о своей находке Microsoft, однако компания проигнорировала его сообщение и не исправила уязвимость.

Ниже представлено видео с демонстрацией техники RID hijacking.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться