Исследователь смог обойти защиту LSASS в Windows — это хранилище учётных данных пользователей
В июле 2022 года редмондцы обновили защиту LSASS, но лазейки остались.
Несмотря на попытки Microsoft усилить безопасность Windows, исследователи продолжают находить способы обхода защитных механизмов. Специалист Orange Cyberdefense обнаружил уязвимость, позволяющую выполнить произвольный код в процессе LSASS — хранилище учётных данных пользователей Windows.
В июле 2022 года Microsoft обновила систему Protected Process Light (PPL), чтобы закрыть уязвимость, позволяющую обходить защиту LSASS. Однако исследователи выяснили, что использовать уязвимые библиотеки (метод BYOVDLL) всё ещё возможно.
Автор исследования сконцентрировался на службе CNG Key Isolation (KeyIso) и попытался загрузить её уязвимую версию (keyiso.dll) в LSASS. Первая попытка оказалась неудачной: система не обнаружила цифровую подпись DLL и заблокировала загрузку.
Решение нашлось в каталогах файлов Windows, содержащих криптографические хэши для проверки подлинности. Установив нужный каталог, исследователь добился распознавания подписи уязвимой библиотеки и загрузил её в LSASS.
Для реализации атаки был зарегистрирован новый провайдер ключей, использующий уязвимую версию библиотеки ncryptprov.dll. Подтвердив загрузку DLL в LSASS, автор запустил эксплойт, который успешно выполнил код внутри защищённого процесса.
Таким образом, даже усиленная защита LSASS оказалась уязвимой. Исследование в очередной раз подтвердило: нет предела совершенству, когда речь идёт о безопасности информационных систем.