Служба факсов в Windows? Да, она всё ещё там — и теперь через неё можно получить права SYSTEM

В сети опубликовали новый инструмент, позволяющий повысить привилегии в Windows, – Eris. Автор утверждает, что метод позволяет получить системную командную оболочку в активной пользовательской сессии через службу факсов Windows.

Eris работает в два этапа. Сначала программа обходит контроль учётных записей Windows через механизм Silent Cleanup. Получив повышенные права, она изменяет реестр, создаёт нового поставщика виртуального факсового устройства и перенастраивает службу факсов так, чтобы та запускалась от имени Local System. Затем служба перезапускается и выполняет вредоносную нагрузку, которая открывает командную оболочку с системными привилегиями.

Автор проекта называет первоначальный обход контроля учётных записей «жертвой», без которой нельзя запустить основную часть атаки.

Чтобы проверить работу Eris, требуется установленный компилятор g++ из набора MinGW-w64 или среда MSYS2. Проект включает исходные коды двух компонентов: библиотеки нагрузки и исполняемого файла-загрузчика. После того как пользователь соберёт и запустит программу, он получит командную оболочку с повышенными привилегиями.

Разработчик также опубликовал готовые бинарные файлы для тех, кто не хочет собирать проект вручную.

Получение уровня SYSTEM (SNEK_Eris)

Судя по описанию, Eris рассчитан на локальное применение уже после того, как злоумышленник получил первоначальный доступ к системе. Подобные инструменты часто применяют, чтобы закрепиться в сети и продвигаться дальше внутри инфраструктуры Windows.