AnasayfagüvenlikWindows Grup İlkesi: Hata, davetsiz misafirlerin yönetici hakları edinmesine izin verir

Windows Grup İlkesi: Hata, davetsiz misafirlerin yönetici hakları edinmesine izin verir

Η Microsoft tüm güncellerde bulunan bir hata düzeltildi versiyonları ve davetsiz misafirlerin bir bilgisayarın tam kontrolünü ele geçirmek için Windows Grup İlkesinden yararlanmasına olanak tanır. Windows Grup İlkesi'nde bulunan bu hata, Windows Server 2008'den sonraki tüm Windows sürümlerini etkiler. Windows yöneticileri hepsini uzaktan idare edebilir aletleri "Grup İlkesi" özelliği aracılığıyla bir ağ üzerindeki Windows. Özellikle bu özellik, yöneticilerin kuruluşları için ağlarındaki tüm Windows cihazlarına iletilen merkezi bir küresel yapılandırma politikası oluşturmalarına olanak tanır. Bu politikalar, bir yöneticinin bir bilgisayarın nasıl kullanılabileceğini kontrol etmesine izin verir. uygulamaları, uygulama yürütme, Windows işlevlerini etkinleştirme ve devre dışı bırakma ve hatta herhangi bir Windows bilgisayarda aynı duvar kağıdını geliştirme.

Yeni Windows grup ilkelerini denetlemek için Windows aygıtları bunu kullanır hizmet Etki alanı denetleyicisine düzenli olarak bağlanacak ve yenilerini kontrol edecek "Grup İlkesi İstemcisi" veya "gpsvc" güncellemeler grup ilkeleri. Bu yeni grup ilkelerinin doğru şekilde uygulanması için, "gpsvc" hizmeti, yönetici hesabıyla aynı izinleri ve izinleri sağlayan "SİSTEM" izinleriyle çalışacak şekilde yapılandırılır.

Grup İlkesi İstemcisi hizmeti, davetsiz misafirlerin ayrıcalıkları artırmasına olanak tanır
Güncellemelerin bir parçası olarak emniyet Microsoft, Haziran 2020 Salı Yaması'nda, yerel davetsiz misafirlerin yönetici ayrıcalıklarıyla herhangi bir komutu yürütmesine izin veren CVE-2020-1317'yi (Grup İlkesinde ayrıcalık ölçeklendirme hatası) düzeltti. Bu hata siber güvenlik şirketi tarafından keşfedildi CYBERARK, daha fazla ayrıcalık kazanmak için grup ilkesini güncellemek için kullanılan bir dosyada, sembolik bağlantıya bir saldırı tanımladı. Bu hata herhangi bir Windows bilgisayarını (2008 veya üzeri) etkileyebilir. Bir kuruluştaki tüm aygıtlar için geçerli olan bir ilke grubu güncelleştirmesi çalıştırdığınızda, Windows yeni ilkeleri bir klasör alt klasöründeki bir bilgisayara yazar.% LocalAppData%tipik bir kullanıcı da dahil olmak üzere her kullanıcının lisanslandığı. Örneğin, ilke yazıcılarla ilgiliyse, depolanacak: C: \ Kullanıcılar \ [kullanıcı] \ AppData \ Local \ Microsoft \ Grup İlkesi \ Geçmiş {szGPOName. \ USER-SID \ Tercihler \ Yazıcılar \ Printers.xml. Dolu giriş CyberArk, "SYSTEM" ayrıcalıklı bir işlem tarafından kullanıldığı bilinen bir dosyada, DLL çalıştıran bir RPC komutundaki dosya arasında sembolik bir bağlantı kurabileceklerini keşfetti.

Grup İlkesi İstemcisi hizmeti "SİSTEM" izinleriyle çalıştığından, bu dosyadaki ilkeleri uygulamaya çalıştığında, "SİSTEM" izinlerinin istediği tüm DLL'leri yürütür. Bu hatayı etkinleştirmek için, yerel davetsiz misafirler, Grup İlkesi'ni el ile eşitleyen gpupdate.exe'yi çalıştırabilir. Bu komut daha sonra ilke güncellemesini tetikler ve bir saldırganın kötü amaçlı bir DLL'sini yürütür.

CyberArk'a göre, bunun adımları istismar bu hatanın aşağıdaki gibidir:

  • Sahip olduğunuz GUID ilke grubunu girin C: \ Kullanıcılar \ kullanıcı \ AppData \ Local \ Microsoft \ Grup İlkesi \ Geçmiş \.
  • Çok fazla GUID'niz varsa, son zamanlarda hangi dizinin güncellendiğini kontrol edin.
  • Bu dizine ve SID kullanıcısı olan alt dizine gidin.
  • En son değiştirilen listeye bir göz atın. Bu ortamınızda farklı olacaktır.
  • Dosyayı sil Yazıcılar.xml, yazıcı kataloğunda.
  • İçinde bir NTFS ek noktası oluşturma RPC Denetimi + bir Nesne Yöneticisi sembol bağlantısı Printers.xml açıkken C: \ Windows \ System32 \ Everything.dll.
  • En sevdiğiniz terminali açın ve gpupdate'i çalıştırın.

Ayrıcalıklar olmadan, yine de keyfi konumlarda dosya oluşturabilen standart kullanıcılar ile davetsiz misafirlerin sonunda ayrıcalıklarını artırmak için bu hatayı kullanabilirler. Bu hata, milyarlarca olmasa da milyonlarca bilgisayarı etkilediğinden, tüm Windows yöneticileri tarafından en kısa zamanda ele alınması gereken ciddi bir güvenlik açığıdır. CyberArk bu hatayı geçen Haziran ayında Microsoft'a açıkladı ve Microsoft şimdi güvenlik güncelleştirmeleriyle düzeltti. yama Salı Haziran 2020.

Pohackontashttps://www.secnews.gr
Her başarı deneme kararı ile başlar.
spot_img

CANLI HABERLER