Fastweb

Il sistema operativo Windows ha una nuova grave falla di sicurezza

Smartphone & Gadget #android #app Più di 1000 app Android conservano i vostri dati anche se avete negato loro il permesso di farlo Alcune app hanno conservato informazioni come localizzazione e dati personali e Google afferma che non riuscirà a modificare la cosa almeno fino all'uscita di Android Q
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Il sistema operativo Windows ha una nuova grave falla di sicurezza FASTWEB S.p.A.
Una porta di servizio per accedere ai PC Windows
Web & Digital
Un ricercatore ha scoperto un modo per assegnare i diritti di amministratore agli account "ospiti" sui PC Windows

Un ricercatore di sicurezza informatica colombiano ha trovato un modo per assegnare i diritti di amministrazione e ottenere la priorità all'avvio su PC Windows. Un modo semplice da eseguire e difficile da arrestare: tutte le funzionalità che gli hacker e gli autori di malware cercano, in una semplice tecnica informatica.

La cosa più sorprendente è che la tecnica è stata resa nota per la prima volta nel dicembre 2017, ma nonostante i numerosi vantaggi e la facilità di sfruttamento, non ha ricevuto alcuna copertura mediatica né è stata vista impiegata in campagne di malware.

Scoperto da Sebastián Castro, un ricercatore di sicurezza per CSL, la tecnica si rivolge a uno dei parametri degli account utente di Windows noto come Identificatore relativo (RID).

Il RID è un codice aggiunto alla fine degli identificatori di sicurezza dell'account (SID) che descrive il gruppo di autorizzazioni dell'utente. Sono disponibili diversi RID, ma quelli più comuni sono 501 per l'account guest standard e 500 per gli account admin.

Castro, con l'aiuto del CEO di CSL Pedro García, ha scoperto che armeggiando con le chiavi del Registro di sistema che memorizza informazioni su ciascun account di Windows, poteva modificare il RID associato a un account specifico e concedergli un RID diverso, per un altro gruppo di account.

La tecnica non consente a un hacker di infettare da remoto un computer a meno che quel computer non sia stato scioccamente lasciato esposto su Internet senza password.

Ma nei casi in cui un hacker abbia un punto d'appoggio su un sistema, che sia un malware o un accesso brute force - forzando un account con una password debole - il maleintenzionato può fornire autorizzazioni di amministratore a un account di basso livello compromesso e ottenere una backdoor permanente con accesso completo al sistema su un PC Windows.

Poiché le chiavi del Registro di sistema sono anche di "avvio persistente", tutte le modifiche apportate al RID di un account rimangono permanenti o fino a quando non vengono modificate nuovamente.

L'attacco è anche molto affidabile e testato, si trova a lavorare su versioni di Windows che vanno da XP a 10 e da Server 2003 a Server 2016. Anche le versioni precedenti dovrebbero essere vulnerabili, almeno in teoria.

"Non è così facile da rilevare, quando violato, perché questo attacco potrebbe essere implementato utilizzando le risorse del sistema operativo senza attivare alcun avviso per la vittima", ha detto Castro a ZDNet in un'intervista della scorsa settimana.

D'altra parte, penso che sia facile da individuare quando si eseguono operazioni di controllo, ma è necessario sapere dove guardare.

È possibile scoprire se un computer è stato vittima del dirottamento del RID guardando all'interno del registro [Windows] e verificando la presenza di incoerenze sul SAM [Security Account Manager]", ha aggiunto Castro.

Se il SID di un "account ospite" termina con un RID "500" è una chiara indicazione che l'account guest ha diritti di amministratore e che qualcuno ha manomesso le chiavi di registro.

Il ricercatore CSL ha creato e rilasciato un modulo per Metasploit Framework che automatizza l'attacco, a scopo di test.

"Abbiamo contattato Microsoft non appena il modulo è stato sviluppato, ma non abbiamo ricevuto alcun tipo di risposta da parte loro", ci ha detto Castro. "E no, la cosa non è già stata risolta."

Non è chiaro il motivo per cui Microsoft non ha risposto, ma il ricercatore è stato in tour quest'estate, presentando le sue scoperte a varie conferenze sulla sicurezza informatica, come Sec-T , RomHack e DerbyCon . Di seguito è riportato un video della sua presentazione più recente:

"Per quanto ne so, non c'era documentazione su internet di questo particolare attacco quando ho pubblicato il post  che lo descriveva", ha detto Castro a ZDNet . "Poiché questa è una tecnica semplice, non penso che solo la mia azienda e io ne siamo a conoscenza."

Ma mentre alcune tecniche "furbe" come quella documentata da Castro sono note per passare attraverso e non avere copertura mediatica, spesso non passano inosservati agli autori di malware.

Il dirottamento del RID è semplice, furtivo e persistente, proprio quello che gli hacker amano di più dei difetti di Windows. Ma in questo caso, il dirottamento del RID sembra essere sfuggito, per fortuna, anche dagli autori di malware.

"Non sono a conoscenza di alcun malware che usi questa tecnica di ingresso", ci ha detto Castro. "Ho chiesto ad alcuni analisti di malware, ma mi hanno detto che non l'hanno visto implementato su malware."

22 ottobre 2018

Fonte: zdnet.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #windows #sicurezza #hacker

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.