С помощью «секретного» протокола можно захватить любой ПК на современной Windows
Специалист по безопасности из Google Zero Project выявил уязвимость в малоизвестном протоколе CTF, который используются во всех современных версиях Windows. Эксплуатация уязвимости позволяет установить полный контроль над атакуемой машиной.
"Секретный" протокол
Малоизвестный протокол CTF, используемый во всех версиях операционной системы Microsoft Windows начиная с XP, небезопасен и может быть использован злоумышленником для проведения целевой атаки. Об этом сообщил ресурс ZDNet со ссылкой на исследователя в сфере безопасности из команды Google Project Zero Тэвиса Орманди (Tavis Ormandy), обнаружившего проблему.
По словам эксперта, уязвимый протокол позволяет хакерам захватить любое приложение, в том числе запущенное с полномочиями администратора или даже всю ОС целиком.
Как именно расшифровывается аббревиатура CTF на данный момент неизвестно - Орманди не удалось отыскать информацию об этом в документации Microsoft. Однако известно, что CTF является частью Windows Text Services Framework (TSF) - системы, которая отвечает за вывод текста в Windows и приложениях для нее.
Когда пользователь запускает приложение, Windows также стартует CTF-клиент для этого приложения. CTF-клиент в дальнейшем получает сведения о системном языке ОС и методе ввода с клавиатуры. CTF-сервер ведет непрерывный мониторинг данных параметров, и в случае их изменения, отдает команду CTF-клиенту, чтобы тот в режиме реального времени "подстроился" под них.
Одна уязвимость, чтобы управлять всем
Орманди выяснил, что процесс взаимодействие между CTF-клиентом и его сервером никак не защищен, то есть любое приложение, пользователь или даже изолированный процесс может элементарно подключиться к сессии CTF.
"Хотя CTF-сервер и требует от своего клиента идентификаторы потока, процесса и окна (HWND), однако из-за отсутствия какого-либо механизма аутентификации ничто не мешает передать поддельные данные", - отмечает эксперт.
Таким образом, установив контроль над CTF-сессией приложения, злоумышленник может отправлять команды в адрес этих приложений, маскируясь под CTF-сервер. С помощью данной техники хакеры получают возможность красть данные из запущенных программ, либо управлять ими. Если же программа запущена с повышенными привилегиями, ничто не помешает атакующему захватить полный контроль над компьютером жертвы.
По словам Орманди, захвачено может быть любое приложение или процесс Windows, отображающие текст в пользовательском интерфейсе. В подтверждение своих слов эксперт записал видео, в котором успешно захватил CTF-сессию экрана входа в систему Windows 10.
Исправление есть, но поможет ли?
ZDNet сообщает, что Microsoft выпустила исправление (CVE-2019-1162), которое решает описанную Орманди проблему в части повышения привилегий. Однако, как отмечают журналисты издания, сам протокол CTF нуждается в модернизации, поскольку уязвим в силу своей архитектуры.
Орманди выложил на Github инструмент, который позволит исследователям самостоятельно протестировать протокол на наличие других проблемы безопасности, а также опубликовал в блоге Google Project Zero более детальное описание проблемы.
