Finne får admin-adgang i Windows 10 med Shift+F10

Ved at udnytte en funktion til fejlfinding har sikkerhedsmand opnået system-adgang i Windows 10 i forbindelse med en opgraderingsproces.

En indbygget funktion til fejlfinding i Windows 10 gør det muligt for en ikke-admin-bruger at opnå systemadgang i styresystemet.

Det fortæller den finske sikkerhedsmand og virksomhedsindehaver Sami Laiho om i et blogindlæg.

Indlægget indeholder også en video, hvor han demonstrerer sin fremgangsmåde.

»Dette er et stort problem, og det har det været længe,« skriver Sami Laiho.

Han oplyser, at han har fået bekræftet af Microsoft, at virksomhedens produktgruppe kender til problemet, og at de arbejder på et fiks.

Sami Laiho er Micosoft MVP - Most Valuable Professional. Og han arbejder som Senior Technical Fellow.

Sami Laihos trick til at opnå rettigheds-eskalering i Windows 10 sker i forbindelse med større opdateringer til styresystemet, kaldet feature updates.

Det vil eksempelvis sige en opdatering fra Windows 10 RTM (release to manufacturing) til den såkaldte november-update 1511 eller jubilæums-update 1607.

En lille udgave af Windows kaldet PE (Preinstallation Environment) bliver anvendt i forbindelse med den slags opgraderinger. Og i Windows PE er der en fejlfindings-feature, hvor et tryk på Shift+F10 fremkalder en kommando-prompt.

Herfra skulle det ifølge Laiho være muligt at tilgå indholdet af en harddisk, selvom den måtte være beskyttet med krypteringsværktøjet Bitlocker.

Rettigheds-eskalering

Shift+F10-prompten skulle også muliggøre et angreb med rettighedseskalering, hvor en ikke-adminbruger i sidste ende får system-adgang. Det vil ifølge Laiho sige adgang til Windows-roden.

»Og det kræver selvfølgeligt ikke nogen ekstern hardware eller yderligere software. Det er bare en crazy bug, vil jeg sige,« skriver Sami Laiho og tilføjer en utilfreds smiley.

I videoen viser han dels, hvordan han kan se indholdet af et ellers Bitlocker-beskyttet drev via tricket, og så demonstrerer Sami Laiho, hvordan tastekombinationen i sidste ende giver ham mulighed for at tilføje en ikke-admin bruger til admin-gruppen.

Sikkerhedsmanden nævner to scenarier, hvor en angriber vil kunne udnytte hacket. Det ene er internt i en organisation, hvor en bruger via fidusen opnår admin-adgang.

Vedkommende bliver dog i udgangspunktet nødt til at vente på den næste feature update, medmindre han eller hun er en del af Microsofts insider-program. Her er der konstant nye builds, som anvender Windows PE til opgradering.

I det andet scenarie, som Sami Laiho opstiller, har en ekstern trussel adgang til en computer, hvor han eller hun så venter på, at maskinen begynder på den sårbare opgraderings-proces.

Sami Laiho har et par tips til at imødegå den potentielle sårbarhed.

Man kan forbyde opgraderinger uden tilsyn, man kan holde et stramt øje med personer, som er en del af Windows Insider-programmet, og derfor ofte får builds, der muliggør eskaleringen.

Og endeligt, som Sami Laiho ifølge eget udsagn anbefaler sine kunder, så kan man køre LTSB-udgaven af Windows. Det er en forkortelse for Long Term Support Branch. Her bliver der ikke rullet nye builds ud på samme måde, som ved Windows CB - current branch. Og dermed opstår muligheden for at udnytte tastekombinationen til et angreb heller ikke.

På Reddit

På under-redditen /r/netsec er der en livlig og læseværdig diskussion i forhold til anvendeligheden af Laihos hack.

»Dette er stort. Du låser måske din skærm, går væk og en angriber kan så forsøge at reboote din enhed, og med en stor portion held, så vil updateren starte og derved låse det krypterede drev op for ham, og tillade at han kopierer dine data fra det interne drev via kommandolinjen,« skriver en Reddit-bruger, der kalder sig xphx.

Til det svarer en anden bruger, m7samuel, at et andet hack - når der alligevel er fysisk adgang til enheden, og forudsat der ikke sker en autentifikation før boot - kunne være at dumpe data direkte fra den fysiske ram.

Herefter følger en længere diskussion om, hvordan det kunne foregå. En dåse med komprimeret luft til fjernelse af støv (eng. en dust-off) bliver nævnt. Læs eventuelt mere på Reddit.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (3)

Brian Hansen

Har da været kendt længe :)
Virker også på diverse recovery images fra producenterne, de kører også tit WinPE.
Sammen med Easy2Boot har jeg også brugt shift - F10 prompten til at loade drivere via firadisk, for at omgå en bug der gør at man ikke kan se harddiskene under installationen fra en ISO fil på en ekstern USB harddisk.
Iøvrigt et glimrende stykke software, Easy2Boot. Tillader man smider en stor stak ISO filer på USB, og så laver den en dynamisk menu man kan vælge dem fra under boot. Virker også med UEFI!

Michael Bisbjerg

Nej - dette er ikke et Bitlocker bypass. Du kan ikke randomly starte en WinPE session op og omgå Bitlocker.

Grunden til at det virker, er at install processen deaktiverer Bitlocker midlertidigt, for at sikre at det går igennem uden problemer. Når den er færdig, aktiveres Bitlocker igen.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017