Функция отзыва Microsoft более уязвима для взлома, чем вы думали

Генеральный директор Microsoft Сатья Наделла похвалил новую функцию отзыва данных компании, которая сохраняет историю рабочего стола вашего компьютера и делает ее доступной для анализа искусственного интеллекта, как «фотографическую память» вашего компьютера. Между тем, в сообществе кибербезопасности идея инструмента, который автоматически делает снимок экрана вашего рабочего стола каждые пять секунд, была провозглашена сбывшейся мечтой хакера и худшей идеей продукта за последнее время.

Теперь исследователи безопасности отметили, что даже единственную оставшуюся меру безопасности, предназначенную для защиты этой функции от эксплуатации, можно тривиально обойти.

С момента первого анонса Recall в прошлом месяце мир кибербезопасности отметил, что если хакер сможет установить вредоносное ПО, чтобы закрепиться на целевом устройстве с включенной функцией, он сможет быстро получить доступ ко всей истории пользователей, хранящейся с помощью этой функции. Единственным препятствием для просмотра всей жизни жертвы с высоким разрешением перед клавиатурой, по-видимому, является то, что для доступа к данным Recall требуются права администратора на устройстве пользователя. Это означает, что вредоносное ПО без привилегий верхнего уровня вызовет всплывающее окно с разрешением, позволяющее пользователям отказать в доступе, и этому вредоносному ПО, скорее всего, по умолчанию будет заблокирован доступ к данным на большинстве корпоративных устройств.

Затем Джеймс Форшоу, исследователь из исследовательской группы Google Project Zero, опубликовал в среду сообщение: Обновление записи в блоге Указывая на то, что он нашел способы получить доступ к данным отзыва. без Привилегии администратора – по сути, снятие даже последнего фигового листка защиты. «Админ не требуется ;-)» — закончился пост.

«Проклятый» Форшо Добавлено на Мастодонте. «Я действительно думал, что безопасность базы данных призывов будет, по крайней мере, надежной».

В блоге Форшоу описаны два разных метода обхода требований к привилегиям администратора, оба из которых используют способы обхода основной функции безопасности в Windows, известной как списки контроля доступа, которые указывают, какие элементы на компьютере требуют привилегий для чтения и изменения. Один метод Форшоу использует исключение из этих меню управления, временно выдавая себя за программу на компьютерах Windows под названием AIXHost.exe, которая может получить доступ даже к базам данных с ограниченным доступом. Есть другой, более простой способ: Форшоу указывает, что, поскольку данные отзыва, хранящиеся на устройстве, считаются собственностью пользователя, хакер с теми же привилегиями, что и пользователь, может просто переписать списки контроля доступа на целевом устройстве, чтобы предоставить себе доступ. в полную базу данных.

Этот второй, более простой метод обхода «откровенно говоря, довольно удивителен», — говорит Алекс Хагина, стратег по кибербезопасности и этический хакер. Хагена недавно создала хакерский инструмент для проверки концепции под названием TotalRecall, призванный показать, что тот, кто получил доступ к устройству жертвы с помощью Recall, может мгновенно получить всю историю пользователей, записанную этой функцией. Однако инструмент Хагины по-прежнему требует от хакеров найти другой способ получить права администратора с помощью так называемой техники «повышения привилегий», прежде чем его инструмент сможет работать.

Благодаря технологии Forshow «вам не нужно ни повышение привилегий, ни всплывающие окна, ничего», — говорит Хагина. «Было бы разумно реализовать это в инструменте для плохого парня».