圖片來源: 

CSL

哥倫比亞安全研究人員發現Windows 上有個很容易執行RID綁架漏洞,可讓駭客以他人帳號取得受害電腦的管理員控制權,然而這個存在至少10個月的漏洞都未獲得修補。

安全公司CSL執行長Pedro Garcia於去年12月發現到這個RID綁架(RID hijiacking)漏洞。RID(relative identifier,相對識別碼)是加上用戶帳號安全識別碼(SID)後,描述電腦或網域允許的帳號。常見的RID是代表內建管理員帳號的500或代表Guest的501。

Garcia為測試攻擊撰寫了一個Metasploit模組。他發現,只要對Windows PC傳送meterpreter session即可改寫Windows機碼,進而修改和用戶帳號下的RID,並為另一個帳號群組建立另一組RID。研究人員表示,雖然這個方法不能引發遠端程式碼執行或感染,但是一旦駭客可藉由惡意程式或暴力破解電腦帳戶密碼,駭客就可以為原本低權限的用戶帳號賦予管理員權限,因而成為Windows PC上的後門。

由於機碼是永久存在的,因此任何竄改在被修復之前都是有效的。此外,本攻擊手法在Windows XP、Server 2003、Windows 8.1和Windows 10系統上都可以試驗成功。

Garcia指出,這種手法完全利用OS資源,並未引入外部惡意程式,故也不會引發系統警告。只有在檢視登錄檔(registry)時檢查到安全帳號管理員(security account manager, SAM)有不一致時才可能發現。

雖然這對駭客來說是一個天上掉下來的禮物,不過似乎尚未有傳出開採及攻擊行動的消息,但他相信找到該漏洞的不只有他的公司。研究人員對ZDNet表示,在發現本項漏洞後已經通知微軟,但並未獲得回應,當然微軟也還未修補漏洞。


Advertisement

更多 iThome相關內容