Хит-парад убогих уязвимостей Microsoft

0gu_fxlkmayb0-mcpz36suzt0zu.png

Уж кого нельзя обвинить в скупости на разного рода ошибки и уязвимости, так это корпорацию Microsoft. За примером далеко ходить не надо — достаточно посмотреть на Windows 10, просто утопающую в багах. Упрекать разработчиков не стоит: они «старательно» выпускают патчи, исправляющие ошибки. Но статистика — вещь непредвзятая. Согласно «ежегодному отчету об уязвимостях Microsoft» от компании BeyondTrust, за 2020 год было обнаружено 1268 уязвимостей, из которых критических — 132. В этой статье взглянем на самые странные и глупые уязвимости, которые были найдены в продуктах от Microsoft.

Microsoft Teams и .GIF файлы


В апреле 2020 года CyberArk опубликовала статью об уязвимости в Microsoft Teams, позволяющей злоумышленникам получить доступ к аккаунту жертвы с помощью одного лишь .GIF изображения. 

Суть уязвимости в следующем: чтобы убедиться, что пользователь получает предназначенное для него изображение, в Microsoft Teams используются два токена для аутентификации: authtoken и skypetoken. Authtoken позволяет загружать изображения на доменах Teams и Skype, а затем генерирует skypetoken. Skypetoken используется для аутентификации на сервере, обрабатывающем действия клиента, например чтение и отправка сообщений.

c8fe4aa291b77822e949b25957bd1c77.png

При этом authtoken может использоваться только на поддоменах teams.microsoft.com, поэтому злоумышленникам было необходимо захватить соответствующие поддомены. Данная уязвимость чем-то схожа с фишинговыми ссылками, только в случае GIF-изображения пользователю не нужно было переходить по ссылке, а только посмотреть «гифку», после чего злоумышленник получал необходимые токены.
80dcdaf5fcf58fe4c541c27edc32c5c4.png

Куки authtoken

Злоумышленник, имея оба токена, мог с помощью API подключиться к учетной записи пользователя и получить полный контроль над ней. Это давало доступ к конфиденциальной информации, и что еще важнее, доступ к определенным социальным связям. Скомпрометированную гифку можно было пустить дальше по организации, используя доверие сотрудников. Можно было запросить смену пароля у ИБ-отдела и получить доступ к другим важным ресурсам. У руководителей можно было запросить важную информацию, а захватив аккаунт руководителя можно было дать определенные инструкции подчиненным. В общем, взлом одной учетной записи в организации мог повлечь финансовый ущерб и утечки данных всей организации. Ситуация осложнялась коронавирусом, который вынудил многие компании перейти на удаленный режим работы.

Когда пароль «password» не так уж и плох


В системах Windows семейства 9x появилась возможность создавать на компьютере сервер для обмена и размещения файлов. К системе мог подключиться другой компьютер, знавший куда подключаться и пароль. Именно в проверке пароля скрывалась уязвимость этой системы. Технические подробности точно неизвестны и в интернете можно найти две версии. Первая гласит так: при обработке запросов на аутентификацию система вместо того, чтобы проверять идентичность полученного пароля и реального, сравнивала количество байтов в паролях. Злоумышленник мог просто подобрать подходящий по длине пароль и получить доступ к серверу. А вторая утверждает, что для доступа к серверу достаточно было отправить в виде пароля однобайтовый символ, соответствующий первому символу пароля.
ee7511d8e965f6821132662be3b61503.png

File and Print Sharing service

Уязвимость в Paint 3D


Перейдем к относительно свежей уязвимости. Пока Microsoft готовит следующую версию Windows, специалисты по кибербезопасности, участвующие в программе Zero Day Initiative (ZDI), организованной Trend Micro, обнаружили уязвимость в одной из предустановленных программ в Windows 10. 

Впервые представленный как часть обновления Microsoft Creators Update в 2016 году, Paint 3D задумывался как программа, призванная заменить классический Paint, поставляемый еще со времен Windows 1.0. Идея заключалась в том, что пользователи будут пользоваться поддержкой 3D-моделирования и откажутся от обычного Paint. Однако Paint 3D не нашла особого спроса, и обе программы поставлялись с Windows 10 параллельно. По некоторым данным, в Windows 11 откажутся от Paint 3D — похоже трехмерный собрат старого Paint незаметно отправится на кладбище, где похоронены Zune, Band и Media Center.

e2d9618b9a79df31e1e46217471254c2.png

Интерфейс Paint 3D для тех, кто никогда его не запускал

Теперь о самой дыре в безопасности. Уязвимость, обозначенная как CVE-2021–31946, позволяет атакующему выполнить произвольный код на компьютере пользователя при посещении вредоносной страницы или открытия вредоносного файла. Задача злоумышленника заключается в том, чтобы заставить жертву открыть специальный файл. Атака должна сопровождаться повышением привилегий, чтобы захватить контроль над целевой системой. Сама уязвимость вызвана ошибкой в парсинге файлов формата STL (формат для хранения трехмерных моделей объектов) при их открытии в Paint 3D. Проблема возникает из-за отсутствия надежной проверки предоставленных пользователем данных, что может привести к чтению за пределами выделенной структуры данных. Это можно использовать для выполнения кода в контексте текущего процесса с низкой целостностью.

Как отметила сама команда ZDI, в настоящее время нет информации об использовании обнаруженной уязвимости в реальных кибератаках. Оно и неудивительно, если учитывать, насколько «популярен» Paint 3D среди пользователей.

Билл Гейтс, хватит делать деньги. Исправь свое ПО!


Интерфейс DCOM RPC является обычным компонентом операционных систем Windows на базе NT, включая NT, 2000, XP и Server 2003. 16 июля 2003 года в нем была найдена уязвимость — переполнение буфера, которое вызывалось соответствующим образом составленным TCP/IP пакетом, приведшим на порт 135, 139 или 445. Microsoft выпустили патч MS03–026, а в сводке к патчу описала эксплойт, что стало своеобразной красной тряпкой для взломщиков. 

11 августа 2003 года появился червь Blaster, стремительно заразивший порядка 300 тысяч компьютеров по всему миру. К сожалению, защита домашних систем с помощью брандмауэров в то время не была обычной практикой. Компьютеры, подключенные напрямую к Интернет, легко могли стать жертвой червя: после попадания в систему он сканировал доступные сети на предмет компьютеров с открытым 135-м портом и при обнаружении таковых проводил атаку, повторяя цикл. Код червя приводил к сбою службы RPC зараженного компьютера, компьютер отображал сообщение с предупреждением о неизбежном завершении работы и бесцеремонно перезагружался.

3c6047a6a1e7a82a71cd04fdac9fada4.png

То самое сообщение

Интересный момент: код червя содержал обращение лично к основателю Microsoft, Биллу Гейтсу. Послание гласило: «Билли Гейтс, почему ты сделал это возможным? Прекрати зарабатывать деньги и исправь свое программное обеспечение!» Microsoft «прислушались» и в конце лета выпустили второй набор обновлений MS03–039, в котором блокировались дополнительные порты, используемые для вмешательства в службу RPC.

a9527bb79b032ef149a6c68b409bd947.png

Послание Биллу Гейтсу в коде червя

Полный контроль над сервером с помощью одного URL-адреса


Уязвимость с обозначением CVE-2000–0884 появилась в 2000 году. При помощи этой ошибки злоумышленник мог получить получить полный контроль над веб-сервером, просто зная структуру файловой системы Microsoft.

Любой, кто хоть раз использовал компьютер с Windows, скажет, что разобраться с жестким диском несложно. Документы попадают в одну папку; большинство приложений помещаются в другую; и так далее.

Используя точки и обратный слеш (или их соответствующие представления в Юникоде) в URL-адресе, эта ошибка позволяла перемещаться вверх и вниз по файловой системе и выполнять различные команды. И хоть права учетной записи для IIS ограничены, эксплойт мог повысить привилегии, дав удаленным пользователям возможность делать с серверами Windows что угодно, просто отправляя несколько URL-адресов. Информация об уязвимости впервые появилась на форуме PacketStorm. В итоге анонимный пост перерос в почти два года массового владения веб-серверами Windows. В итоге обход каталогов открыл новый мир для автоматизированных атак, вызывающих определенный URL-адрес для выполнения грязной работы.

Расскажите про свои «любимые» уязвимости MS в комментариях?

VPS/VDS-сервер с быстрыми NVMе-дисками и посуточной оплатой. Загрузка своего ISO.

gjzshmojh-bmnbzvfsre9se1eta.png

© Habrahabr.ru