RID Hijacking, una backdoor nel cuore di Windows

I ricercatori scoprono un metodo per ottenere privilegi di accesso totali su un sistema Windows, e Microsoft fa orecchie da mercante per dieci mesi. Mentre i cyber-criminali…

Una nuova tecnica promette di fornire privilegi di accesso superiori su una qualsiasi macchina Windows, creando una vera e propria “backdoor” che passa dal Registro di sistema ed è quindi in grado di sopravvivere al riavvio o allo spegnimento del sistema. Una falla potenzialmente molto grave, che però non sembra aver attirato la giusta attenzione – né dalle parti di Redmond né presso criminali informatici e hacker black hat.

La tecnica si chiama RID Hijacking, ed è stata inizialmente scoperta dal ricercatore colombiano Sebastián Castro impiegato presso CSL Labs. Castro ha spiegato i risultati della sua ricerca già nel dicembre del 2017, in inglese, e da allora non se ne è parlato granché. L’analista è ora tornato sulla questione lanciando un nuovo allarme: la “falla” è sin troppo facile da sfruttare e Microsoft non ha ancora fatto nulla per impedire la creazione degli exploit.

Un attacco a base di RID Hijacking prende di mira i Relative Identifier (RID), un parametro aggiunto da Windows alla fine dell’ID di sicurezza di ogni account (SID) registrato su Windows e connesso al livello di accesso fornito al gruppo a cui appartiene l’utente. Tra i RID più comuni ci sono quello che identificano il gruppo di utenti standard (501), e l’identificativo degli account con pieni privilegi di amministrazione (500).

Castro ha quindi trovato il modo di modificare le chiavi del Registro di Windows – il secondo, importantissimo “cuore” di un sistema operativo Microsoft dopo il kernel – e cambiare il RID di un utente standard trasformandolo in un account con privilegi di accesso superiori. La tecnica è stata testata su diverse edizioni di Windows, funziona da XP in poi (e forse anche nelle versioni precedenti) ed è già stata aggiunta al framework Metasploit per l’uso, lo studio o l’abuso da parte di tutti.

RID Hijacking

Castro dice di aver contattato Microsoft sin dal momento dello sviluppo del modulo per Metasploit, e di non aver ricevuto alcuna risposta nonostante la gravità del problema. Una tecnica come RID Hijacking ha la capacità di trasformare un qualsiasi utente in un account SYSTEM, avverte il ricercatore, stabilendo così una vera e propria backdoor con privilegi di accesso totali. Almeno per il momento, comunque, non sono noti casi di malware o campagne malevole in grado di sfruttare questa pur “semplice” – nonché estremamente efficace – tecnica di infezione.

Potrebbe interessarti anche:

Turning Tables, nuovo attacco contro il kernel di Windows

LoJax, i rootkit per firmware UEFI sono una realtà

PCProfessionale © riproduzione riservata.