Bugs do Console de Gerenciamento Microsoft Permitem o Controle do Windows – Alerta

Bugs do Console de Gerenciamento Microsoft Permitem o Controle do Windows – Alerta

19 de junho de 2019 Off Por Suporte Rede Digital

Vários erros de cross-site scripting (XSS) e um problema de entidade externa XML (XXE) abre a porta para a aquisição de áreas de trabalho administrativas.

Uma interface do Windows que permite que os administradores de sistemas configurem e monitorem sistemas de um nível de administrador tem várias vulnerabilidades que permitiriam que um invasor instalasse cargas maliciosas e até mesmo controlasse uma máquina privilegiada de destino.

Os bugs são agrupados sob um único guarda-chuva (CVE-2019-0948) e são encontrados no Microsoft Management Console (MMC), de acordo com os pesquisadores da Check Point, Eran Vaknin e Alon Boxiner,

“O objetivo do MMC é fornecer uma plataforma de programação para criar e hospedar aplicativos que gerenciam ambientes baseados no Microsoft Windows e fornecer uma interface de usuário e modelo de administração simples, consistente e integrado”, explicaram em um detalhamento das vulnerabilidades, dado aos clientes na semana passada, mas acaba de ser divulgado na segunda-feira. Como tal, um PC comprometido ofereceria acesso a uma variedade de funções e acessos privilegiados.

Os problemas incluem vários bugs de script entre sites (XSS) e problemas de entidade externa XML (XXE). Um conjunto de falhas inclui várias vulnerabilidades XSS que existem no WebView.

Os invasores podem explorar os bugs abusando do mecanismo “snap-in” no MMC, disseram os pesquisadores. Os snap-ins do MMC são as ferramentas de gerenciamento reais disponíveis para a plataforma. O console – às vezes chamado de “host de ferramentas” – é simplesmente uma estrutura na qual os snap-ins são adicionados. Os snap-ins incluem o controle ActiveX, o link para o endereço da Web e assim por diante.

Para explorar a vulnerabilidade, um invasor cria um arquivo de snap-in (com a extensão de arquivo .msc) que contém conteúdo XML especialmente criado e, em seguida, convence um usuário autenticado a importar o arquivo usando qualquer número de técnicas de engenharia social.

Os pesquisadores explicaram que, se um atacante cria um arquivo com o snap-in Link to Web Address, ele pode inserir um link de URL em seu próprio servidor, direcionando as vítimas para uma página HTML com uma carga maliciosa.

“Quando a vítima abre o arquivo .msc malicioso, um WebView é aberto (dentro da janela do MMC) e a carga maliciosa é executada”, explicaram os pesquisadores. “Conseguimos inserir um link de URL mal-intencionado que contém cargas maliciosas, como o redirecionamento para o servidor SMB que captura o hash NTLM do usuário. Além disso, também é possível executar o script VBS no host das vítimas através do mencionado WebView. ”

Da mesma forma, um invasor pode optar por criar um arquivo com o snap-in do controle ActiveX (todos os controles ActiveX são vulneráveis, disseram os pesquisadores) e salvá-lo como um arquivo .msc. “No arquivo .msc, na seção StringsTables, o invasor altera o terceiro valor de string para um URL malicioso sob seu controle, contendo uma página HTML com uma carga maliciosa”, explicaram os dois.

Também incluído no CVE é uma vulnerabilidade XXE devido a um analisador XML com falha.

“Uma vítima abre o MMC e escolhe o snap-in do visualizador de eventos e clica em ‘Ação’ – e depois em ‘Importar exibição personalizada’”, disseram os pesquisadores. “Assim que um arquivo XML malicioso é escolhido (contendo uma carga útil XXE), qualquer arquivo do host da vítima é enviado para o invasor.”

A Microsoft, em seu comunicado , descreveu-o como um bug de divulgação de informações de gravidade moderada.

“Existe uma vulnerabilidade de divulgação de informações no Visualizador de Eventos do Windows (eventvwr.msc) quando analisa indevidamente a entrada XML que contém uma referência a uma entidade externa”, afirmou. “Um invasor que explorou com êxito essa vulnerabilidade pôde ler arquivos arbitrários por meio de uma declaração de entidade externa XML (XXE).”

A Microsoft corrigiu os problemas em sua atualização de terça-feira de junho .

No entanto, Vaknin e Boxiner disseram que os bugs poderiam permitir um ataque mais sério do que apenas a divulgação de informações.

Os pesquisadores disseram ao Threatpost, “O aspecto mais notável é que os arquivos do MMC estão sendo usados… pelos administradores de TI, o antivírus não classifica esses arquivos como mal-intencionados e é possível assumir o controle do PC vítima explorando as vulnerabilidades”. O PC teria status de admin, permitindo que os adversários penetrassem mais na rede.

O Windows 7, o Windows 8.1, o Windows 10 e o Windows Server 2008 para o Windows Server 2019 são vulneráveis ​​e devem ser atualizados, acrescentaram. Até agora, não há evidências de exploração.