الأخبار التكنولوجية والاستعراضات والنصائح!

جوجل يكشف عن وجود عيب غير مسبوق عمره 20 عامًا يؤثر على جميع إصدارات Windows


كشف باحث أمني من Google للتو عن ثغرة أمنية شديدة الخطورة لا تضاهى عمرها 20 عامًا تؤثر على جميع إصدارات Microsoft Windowsالعودة من Windows XP إلى الأحدث Windows 10.

تكمن مشكلة عدم الحصانة في الطريقة التي يتواصل بها عملاء وخوادم MSCTF مع بعضهم البعض ، مما يسمح حتى لتطبيق ذي امتياز منخفض أو تطبيق محدد للرمل بقراءة البيانات وكتابتها إلى تطبيق ذي امتياز أعلى.

MSCTF هو وحدة نمطية في إطار خدمات النص (TSF) من Windows نظام التشغيل الذي يدير أشياء مثل أساليب الإدخال وتخطيطات لوحة المفاتيح ومعالجة النصوص والتعرف على الكلام.

باختصار ، عند تسجيل الدخول إلى حسابك Windows الجهاز ، فإنه يبدأ خدمة مراقبة CTF التي تعمل كسلطة مركزية للتعامل مع الاتصالات بين جميع العملاء ، والتي هي في الواقع windows لكل عملية تعمل على نفس الجلسة.

"ربما لاحظت خدمة ctfmon في مدير المهام ، فهي مسؤولة عن إخطار التطبيقات عن التغييرات في تخطيط لوحة المفاتيح أو طرق الإدخال. تفرض kernel على التطبيقات الاتصال بخدمة ctfmon عند بدء تشغيلها ، ثم تبادل الرسائل مع العملاء الآخرين وتلقيها إخطارات من الخدمة "، وأوضح الباحث.

تافيس أورماندي اكتشف فريق Google Z Project Team أنه نظرًا لعدم وجود تحكم في الوصول أو أي نوع من المصادقة المعمول بها لهذا التفاعل ، يمكن لأي تطبيق وأي مستخدم وحتى عمليات وضع الحماية:

  • الاتصال بجلسة CTF ،
  • قراءة وكتابة نص أي نافذة ، من أي جلسة أخرى ،
  • مزيف معرف الخيط ومعرف العملية و HWND ،
  • التظاهر كخدمة CTF ، خداع التطبيقات الأخرى ، حتى تلك المتميزة ، للاتصال به ، أو
  • الهروب من صناديق الرمل وتصعيد الامتيازات.

"لا يوجد التحكم في الوصول في CTF ، لذلك يمكنك الاتصال بجلسة مستخدم آخر نشطة وتولي أي تطبيق ، أو الانتظار لمسؤول لتسجيل الدخول والتنازل عن الجلسة" ، يشرح Ormandy في منشور بلوق نشر اليوم.

"اتضح أنه كان من الممكن الوصول عبر الجلسات وانتهاك حدود أمان NT منذ ما يقرب من عشرين عامًا ، ولم يلاحظ أحد ذلك."

إذا تم استغلاله ، فإن الضعف في بروتوكول CTF قد يسمح للمهاجمين بتجاوز عزل واجهة المستخدم (UIPI) بسهولة ، مما يسمح حتى لعملية غير مسبوقة بـ:

  • قراءة نص حساس من أي نافذة للتطبيقات الأخرى ، بما في ذلك كلمات المرور من مربعات الحوار ،
  • الحصول على امتيازات SYSTEM ،
  • السيطرة على مربع حوار موافقة UAC ،
  • إرسال الأوامر إلى جلسة وحدة تحكم المسؤول ، أو
  • الهروب IL / AppContainer رمل عن طريق إرسال المدخلات إلى unandboxed windows.

نشر Ormandy أيضًا مقطع فيديو إثبات المفهوم يوضح كيفية استغلال المشكلة للحصول على امتيازات SYSTEM Windows 10.

بالإضافة إلى ذلك ، ورد أن بروتوكول CTF يحتوي أيضًا على العديد من عيوب تلف الذاكرة التي ، وفقًا للباحث ، يمكن استغلالها بتكوين افتراضي.

"حتى بدون الأخطاء ، يسمح بروتوكول CTF للتطبيقات بتبادل المدخلات وقراءة محتوى بعضها البعض. ومع ذلك ، هناك الكثير من الأخطاء التي تسمح للبروتوكولات بالتحكم الكامل في أي تطبيق آخر تقريبًا. سيكون من المثير للاهتمام معرفة كيف تقرر Microsoft التحديث البروتوكول ، "يقول Ormandy.

أصدر الباحث أيضًا "أداة استكشاف CTF مفتوحة المصدر" مخصصة على Github قام بتطويرها واستخدمها لاكتشاف العديد من مشكلات الأمان الهامة في Windows بروتوكول CTF

أبلغ Ormandy بمسؤولياته عن النتائج التي توصل إليها إلى Microsoft في منتصف مايو من هذا العام ، وأصدر التفاصيل للجمهور اليوم بعد أن فشلت Microsoft في معالجة المشكلة في غضون 90 يومًا من إخطارها.