Nowy exploit 0-day z Rosji: zostań bogiem Windowsa za 90 tys. dolarów

Na popularnym rosyjskim forum hakerskim exploit.in pojawiła sięw maju ciekawa oferta użytkownika o pseudonimie BuggiCorp. Zaskromne 90 tysięcy dolarów (płatne w bitcoinach) oferuje onkażdemu zainteresowanemu sprawdzony atak 0-day na praktyczniewszystkie Windowsy NT, od wersji 2000 po najnowszą „dziesiątkę”.Uruchamiając go na już zdobytej maszynie dostaniemy prawdziwy GodMode, czyli możliwość uruchamiania procesów jako SYSTEM, konto zwiększymi uprawnieniami niż zwykły administrator. I wszystkowskazuje na to, że oferta wciąż jest ważna – aktualizacjewydane przez Microsoft niczego tu nie zmieniły.

Oczywiście żartujemy z tymi „skromnymi 90 tysiącami dolarów”.Tak naprawdę jest to jeden z droższych exploitów w historii, leczjednak o cenie całkiem realnej, zweryfikowanej przez rynek.Skupujący exploity 0-day projektZerodium zwykle za exploity na Windows płaci ok. 30 tys. dolarów(dla porównania, exploity na iOS-a mogą kosztować nawet i półmiliona dolarów), ale ta oferta jest szczególna i powinnazainteresować przede wszystkim któregoś z dużych operatorówbotnetów.

Luka w win32k.sys, związana z niewłaściwą obsługą obiektówokien, pozwala na zapisanie dowolnej wartości do dowolnego miejscapamięci, pozwalając na obejście wszelkich mechanizmów ochronnychWindowsa, w tym ASLR i DEP. Co szczególnie bolesne, działa nawetprzy włączonym zestawie EMET (narzędzi rozszerzonego środowiskaograniczającego ryzyko) i nie potrzebuje żadnego dodatkowegooprogramowania.

Sprzedawca zapewnia też, że nie są tu stosowane żadneniestabilne sztuczki, takie jak Return-Oriented Programming (ROP).Skorzystanie z exploitu pozwala więc na uruchomienie własnego koduw trybie kernela (Ring0). W ten sposób więc każdy, kto uzyskałdostęp do zwykłego konta użytkownika, może teraz wyłączyć wsystemie antywirusy, zmienić hasła administracyjne, zainstalowaćswoje rootkity. Co ciekawe, exploit miał zostać też przetestowanyna serwerowych systemach Windows. Daje więc spore możliwościprzejęcia systemów firm hostingowych, które udostępniająklientom konta o wysoce ograniczonych uprawnieniach do zarządzaniaserwerami WWW.

Jako że kod nie został upubliczniony, można by oczywiściesądzić, że takiego exploita nie ma, że to jedynie próbawyłudzenia pieniędzy od naiwnych cyberprzestępców. Wszystkojednak wskazuje na to, że mamy do czynienia z autentyczną gratką.Sprzedawca nie chce pieniędzy na swoje konto bitcoinowe, korzysta zgwarantowanego przez administratorów exploit.in systemu escrow – awięc pieniądze otrzyma dopiero wtedy, gdy nabywca potwierdzi, żejest zadowolony z zakupu. Zapewnia zarazem, że exploit zostanie sprzedany tylko raz i przedstawia klipy wideodemonstrujące działanie exploita na Windows 10, jak równieżobejście wszystkich zabezpieczeń najnowszego EMET 5.

Do tej pory Microsoft nie zareagował na to zagrożenie. Jeślijednak w bliskiej przyszłości zobaczymy bardziej zjadliwe wersjetakich pakietów exploitów jak Angler, to chyba będzie jasne, co jetak bardzo uzbroiło.