Найден простой способ сохранения присутствия на ПК Windows

image

Теги: RID Hijacking, Windows, бэкдор

Техника RID Hijacking основана на эксплуатации одного из параметров учетных записей Windows.

Исследователь в области безопасности Себастьян Кастро (Sebastián Castro) описал метод, позволяющий получить права администратора на компьютере под управлением ОС Windows и сохранить присутствие на системе после ее перезагрузки. Техника, получившая название RID Hijacking, весьма проста в использовании и основана на эксплуатации одного из параметров учетных записей Windows.

Речь идет об уникальных для каждой учетной записи числах, называемых относительными идентификаторами (Relative Identifier, RID). Для встроенных аккаунтов RID предопределены, к примеру, у учетной записи администратора RID всегда равен 500, а у гостевой учетной записи - 501.

Кастро обнаружил, что изменив ключи реестра, хранящие информацию о каждой учетной записи Windows, возможно модифицировать связанный с аккаунтом идентификатор и присвоить ему другой RID. С помощью данной техники невозможно удаленно заразить систему, но если у злоумышленника уже имеется доступ к компьютеру, он может присвоить права администратора учетной записи низкого уровня и таким образом получить доступ с полными системными привилегиями. Поскольку значения ключей реестра сохраняются после перезагрузки, сохраняются также и любые изменения RID учетной записи.

Метод был успешно протестирован на системах под управлением различных версий Windows - от XP до 10 и от Server 2003 до Server 2016. Теоретически, техника может работать и на компьютерах, использующих более ранние версии ОС.

По словам исследователя, рядовой пользователь вряд ли заметит атаку, но ее можно легко обнаружить при проведении компьютерной экспертизы, правда, нужно знать, что искать.

«Стал ли компьютер жертвой RID hijacking возможно проверить, проанализировав реестр Windows и проверив несоответствия в Диспетчере учетных записей безопасности», - отметил эксперт в интервью изданию ZDNet. К примеру, на вмешательство может указывать RID 500, установленный в гостевой учетной записи.

Примечательно, что Кастро описал данную технику еще в декабре прошлого года, однако его публикация не привлекла внимания ни СМИ, ни, как ни странно, злоумышленников, которые обычно весьма оперативно берут на вооружение подобные техники. Эксперт проинформировал о своей находке Microsoft, однако компания проигнорировала его сообщение и не исправила уязвимость.

Ниже представлено видео с демонстрацией техники RID hijacking.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

  • да какая-то фигня неполезная просто это вот и не нужно никому
  • Чтобы это провернуть (присвоить гостевой записи права админа\системы), нужно изменить реестр (локально или удалённо). А чтобы изменить реестр, нужны права админа (либо установленный рут с правами системы). Вопрос: и зачем измываться над гостевой записью, если у тебя и так есть все нужные права? Разве что рассчитывать на то, что рут найдут и удалят, пароль поменяют, а на гостя не будут обращать внимания и при перезагрузке он будет выглядеть как гость, но с правами админа? Но это ведь тоже легко вычислится - достаточно попытаться зайти под гостем без пароля.... и тебя не пустит, ведь теперь гостевой записи нужен пароль...
  • Чтобы это провернуть (присвоить гостевой записи права админа\системы), нужно изменить реестр (локально или удалённо). А чтобы изменить реестр, нужны права админа (либо установленный рут с правами системы). Вопрос: и зачем измываться над гостевой записью, если у тебя и так есть все нужные права? Разве что рассчитывать на то, что рут найдут и удалят, пароль поменяют, а на гостя не будут обращать внимания и при перезагрузке он будет выглядеть как гость, но с правами админа? Но это ведь тоже легко вычислится - достаточно попытаться зайти под гостем без пароля.... и тебя не пустит, ведь теперь гостевой записи нужен пароль...
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • Загружаемся с Бут сд меняем реестр и вуаля
  • так если есть прямой доступ к компу, зачем ещё что-то нужно?)