0-day Windows nadal groźny, pomimo próby łatania luki

Jak możemy chronić się przed takimi zagrożeniami?

Zespół Google Project Zero podał do publicznej wiadomości szczegóły nieprawidłowo załatanej luki w zabezpieczeniach typu „zero-day” w interfejsie API bufora wydruku systemu Windows, która może zostać wykorzystana przez atakującego do wykonania dowolnego kodu. Szczegóły niezałatanej wady zostały ujawnione publicznie po tym, jak Microsoft nie naprawił jej w ciągu 90 dni od wymaganego terminu na naprawę, czyli 24 grudnia. Usterka, pierwotnie śledzona jako CVE-2020-0986, dotyczyła ataku polegającego na podniesieniu uprawnień w interfejsie GDI Print / Print Spooler API („splwow64.exe”), który został zgłoszony przez anonimowego użytkownika współpracującego z Trend Micro Zero Day Initiative (ZDI) pod koniec grudnia 2019 r.

W czym tkwi problem?

Opublikowana w czerwcu przez Microsoft informacja o pierwotnym błędzie (CVE-2020-0986) wskazywała problem w Windows, w którym lokalny atakujący mógł podnieść uprawnieninia i wykonać kod w kontekście bieżącego użytkownika. W celu eksploatacji systemu osoba atakująca musiałaby najpierw zalogować się i następnie uruchomić specjalnie spreparowaną aplikację, aby przejąć kontrolę nad systemem, którego dotyczyła luka. Aktualnie wykryty problem, nie do końca dobrze naprawiony występuje w nieprawidłowej obsłudze obiektów w pamięci przez jądro systemu Windows i umożliwia osobie atakującej wykorzystanie błędu do uruchomienia dowolnego kodu w trybie jądra (czyli na najwyższych uprawnieniach). Dzięki temu atakujący może instalować programy, przeglądać, zmieniać lub usuwać dane oraz tworzyć nowe konta z pełnymi prawami użytkownika.

Błąd uzyskał 8.3 na 10 punktów w skali wrażliwości CVSS.

Z bardziej technicznego punktu widzenia, opisywana luka występuje w procesie hosta sterownika drukarki trybu użytkownika splwow64.exe. Splwow64.exe to podstawowy plik binarny systemu Windows, który umożliwia 32-bitowym aplikacjom łączenie się z 64-bitową usługą buforowania drukarek w 64-bitowych systemach Windows. Implementuje lokalny serwer wywołań procedur (LPC), który może być używany przez inne procesy w celu uzyskania dostępu do funkcji drukowania.

Pierwsze oznaki użycia Zero Day

Firma Kaspersky zaobserwowała, że 0-day był wykorzystywany publicznie w maju przeciwko południowokoreańskiej firmie w ramach łańcucha exploitów, który również wykorzystywał znany błąd zero-day do zdalnego wykonywania kodu w przeglądarce Internet Explorer. Uważa się, że ta kampania, nazwana jako „Operacją Powerfall” została zainicjowana przez grupę ATP znaną jako Darkhotel.

Microsoft wydał nowe CVE-2020-17008, a badacze spodziewają się poprawki w styczniu. W międzyczasie Project Zero wydał publiczny kod weryfikujący koncepcję problemu. Na pewno napiszemy jeszcze o tym problemie na Hack’u