Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejmowanie Windows bez uwierzytelnienia… poprzez Windows Search
Wygląda na to, że warto poświęcić chwilę, by zweryfikować czy komputery z systemem Windows, które podlegają naszej opiece poprawnie zainstalowały ostatnie łatki bezpieczeństwa.
Microsoft w biuletynie bezpieczeństwa donosi o wyeliminowaniu podatności, pozwalającej na zdalne wykonanie kodu w systemie poprzez usługę Windows Search. Analiza przygotowanego opisu jak i wektora CVSS pozwala ustalić, że do przeprowadzenia ataku nie są wymagane żadne uprawnienia (np. konieczność uwierzytelnienia w podatnym systemie), atak możliwy jest do przeprowadzenia przez sieć i nie wymaga żadnej interakcji ze strony użytkownika systemu. Mówimy więc o podobnym wektorze ataku jak w przypadku WannaCry. Podatność dotyczy wersji Windows od 7 aż do najnowszych wydań, sama usługa jest w systemach włączona domyślnie.
Sam Microsoft pisze tak:
(…) in an enterprise scenario, a remote unauthenticated attacker could remotely trigger the vulnerability through an SMB connection and then take control of a target computer.
— piochu
Link do CVE nie działa, chyba że potrzeba jakiegoś konta.
Link działa, przy pierwszym wejściu na portal.msrc.microsoft.com trzeba jednak zaakceptować politykę, jak dobrze pamiętam, cookies. Po wykonaniu tej czynności portal MSRC nie wykona jednak przekierowania do CVE – proponuję wtedy kliknąć jeszcze raz w link z artykułu.