Комментарии 24
По мне так iexplore.exe с правами SYSTEM уже достаточно громкий звоночек
Вы правы, запуск IE с правами SYSTEM уже сам по себе подозрителен, но для однозначного выявления факта эксплуатации описанной уязвимости необходимо обнаружить всю цепочку событий.
Хех, столько лет — старые проблемы. Помню, в давние времена мне в руки попал старый сервер с Win2k, давно забытый всеми. Мне предлагали просто выкачать всё нужное с дисков и переставить ОС, но мне хотелось вернуть админский доступ к машине. Помогла уязвимость той же серии — подмена файла скринсейвера, стартующего на экране входа в систему, на cmd.exe. Процесс запускался от SYSTEM и помог мне вернуть сервер в строй.
Аналогично, в своё время, возвращал доступы к устройствам нерадивых пользователей — заменял файл, отвечающий за залипание клавиш на cmd.exe. Схема дальшейших действий эквивалентна.
Из аналогов припоминается уязвимость в логон-окне win9x, где можно было открыть справку, а из справки запустить эксплорер. Т.е. даже не наклоняясь к системнику, за несколько секунд и без всяких эксплоитов — пробить дыру в безопасности непосредственно через средство обеспечения безопасности :)
Впрочем для Майкрософт это не было багом, они отмораживались что организациям надо использовать NT
похоже на то, что тот, кто делал этот функционал в uac, просто забил — «и так сойдет».
вот гуглится: devblogs.microsoft.com/oldnewthing/20131118-00/?p=2643
При наличии прав локального администратора есть и более простые способы запустить процесс от имени SYSTEM. Установить службу или драйвер, например.
Локальная политика безопасности -> Локальные политики -> Параметры безопасности -> Контроль учётных записей: поведение запроса на повышение прав для обычных пользователей -> Автоматически отклонять запросы на повышение прав.
Интересно, а если вместо http ссылки в сертификате сгенерировать файловую — откроется файловый менеджер вместо IE?
Нажимаем кнопку «Справка», далее в открывшемся окне идём в меню Файл — Открыть, в окне открытия файла идём в C:\Windows, вбиваем в строке имени файла *.exe или *.*, находим explorer.exe, тыкаем правой кнопкой мыши — выбираем в контекстном меню «Запустить».
Windows UAC не перестаёт удивлять, или Как обнаружить инсайдера