Eksperci firmy Kaspersky twierdzą, że luka ta nie wynika z konkretnego błędu, ale ze sposobu działania systemu, umożliwiając hakerom jej wykorzystanie do eskalacji dostępu bezpośrednio do systemu. W przypadku procesu z podszywaniem się pod kogoś, atakujący mógłby to wykorzystać do przejęcia kontroli nad systemem.
Firma Kaspersky przeanalizowała pięć różnych scenariuszy wykorzystania luk, pokazując, że hakerzy mogą rozszerzyć dostęp z usług lokalnych lub sieciowych na wyższe poziomy, a nawet uzyskać kontrolę nad systemem. Ponieważ problem wynika z wady projektowej, luka ta otwiera niemal niezliczone możliwości ataku. Każdy nowy proces lub usługa wykorzystująca mechanizmy komunikacji zdalnej (RPC) może stać się nowym punktem dostępu do luk.
Haidar Kabibo, specjalista ds. bezpieczeństwa aplikacji w firmie Kaspersky, stwierdził: „Konkretne metody eksploatacji luk mogą się różnić w zależności od systemu, czynników takich jak zainstalowane oprogramowanie, biblioteki Dynamic Link Libraries wykorzystywane w mechanizmie komunikacji zdalnej oraz dostępność odpowiednich serwerów aplikacji do komunikacji zdalnej. To zróżnicowanie sprawia, że luki w zabezpieczeniach stanowią kluczowy czynnik w ocenie ryzyka i strategiach reagowania firm”.
Firma Kaspersky zaleca organizacjom wdrożenie środków wykrywania i ograniczania ryzyka związanego z wykorzystaniem luk w zabezpieczeniach: wdrożenie monitoringu opartego na ETW, który pozwala zespołom ds. bezpieczeństwa identyfikować anomalie w mechanizmach komunikacji zdalnej w środowisku systemowym, zwłaszcza gdy żądania połączenia są kierowane do nieistniejących lub niedostępnych serwerów. Ograniczenie korzystania z uprawnienia SeImpersonatePrivilege; to uprawnienie powinno być przyznawane wyłącznie procesom, które go rzeczywiście potrzebują.
Źródło: https://www.sggp.org.vn/lo-hong-phantomrpc-cho-phep-tin-tac-chiem-quyen-he-thong-may-chu-post851434.html
Komentarz (0)