В сообществе специалистов по информационной безопасности произошло событие, которое требует немедленного внимания. Исследователь опубликовал код подтверждения концепции (PoC) для эксплуатации уязвимости нулевого дня в драйвере мини-фильтра облачных файлов Windows (Cloud Files Mini Filter Driver). Эта уязвимость, получившая название MiniPlasma, позволяет атакующему повысить свои привилегии до уровня системы (SYSTEM) на полностью обновлённых версиях операционной системы. Учитывая, что рабочий эксплойт уже находится в открытом доступе, риск масштабных атак становится крайне высоким. Давайте разберёмся, в чём суть проблемы и какие системы находятся под угрозой.
Что произошло?
Исследователь, пожелавший сохранить анонимность, опубликовал на одном из хакерских форумов готовый код для атаки. В своём сообщении он пояснил, что уязвимость связана с функцией "cldflt!HsmOsBlockPlaceholderAccess" внутри драйвера. Ещё шесть лет назад специалист из Google Project Zero Джеймс Форшоу обнаружил аналогичную проблему. Тогда Microsoft выпустила исправление под идентификатором CVE-2020-17103. Казалось, инцидент исчерпан. Однако, как выяснилось, та же самая брешь осталась незакрытой. Исследователь признаётся, что сначала не поверил в это, посчитав невозможным, чтобы корпорация откатила патч или вовсе его не установила. Но проверка показала печальную истину: оригинальный код подтверждения концепции от Google работает без каких-либо изменений на современных системах. Более того, исследователь "вооружил" его, заставив эксплойт открывать командную оболочку с правами системы.
Вот как это описывает сам автор: "Я перепроверил технику, использованную в GreenPlasma (а именно SetPolicyVal). Оказалось, что "cldflt!HsmOsBlockPlaceholderAccess" всё ещё уязвим для той же самой проблемы, о которой сообщалось Microsoft шесть лет назад. Я не присваиваю себе всю заслугу - Джеймс Форшоу из Google Project Zero нашёл уязвимость и сообщил о ней, и она якобы была исправлена как CVE-2020-17103. Однако один мой друг, тоже исследователь, указал, что процедура может быть всё ещё уязвима. Сначала я отмахнулся, потому что считал невозможным, чтобы Microsoft просто не закрыла дыру или откатила заплатку. После расследования выяснилось, что та же самая проблема действительно присутствует, незалатанная. Не знаю, то ли Microsoft никогда её не исправляла, то ли патч был молча отозван по неизвестным причинам. Оригинальный код подтверждения концепции от Google сработал без изменений. Чтобы привлечь внимание к проблеме, я доработал его так, чтобы он запускал командную строку с правами системы. На моих машинах он работает стабильно, но процент успеха может варьироваться, поскольку это состояние гонки (условие, при котором результат операции зависит от последовательности или времени выполнения событий)".
Какие системы под угрозой?
Согласно опубликованным данным, уязвимость затрагивает все современные версии Windows. В официальном предупреждении перечислены:
- Microsoft Windows 10;
- Microsoft Windows 11;
- Microsoft Windows Server 2019 и более новые версии.
Однако сам исследователь утверждает, что, по его мнению, уязвимы все версии Windows. Это означает, что даже корпоративные серверы и рабочие станции с последними обновлениями могут быть скомпрометированы.
Как работает уязвимость и чем она опасна?
Драйвер мини-фильтра облачных файлов (Cloud Files Mini Filter Driver) - это компонент Windows, отвечающий за интеграцию облачных хранилищ (например, OneDrive) в файловую систему. Он обрабатывает запросы к файлам, которые ещё не загружены полностью, и управляет так называемыми "заполнителями" (placeholder). Ошибка в одной из функций этого драйвера позволяет злоумышленнику, уже имеющему локальный доступ к системе (например, через вредоносное вложение или веб-сайт), запустить код с максимальными привилегиями. В результате атакующий получает полный контроль над компьютером: может устанавливать программы, создавать учётные записи, просматривать, изменять или удалять любые данные.
Важно подчеркнуть, что для эксплуатации не требуется прав администратора - достаточно прав обычного пользователя. После успешной атаки злоумышленник получает доступ к уровню системы, который обычно защищён жёсткими механизмами безопасности. Это делает уязвимость особенно опасной для организаций, где используется модель наименьших привилегий.
Почему это произошло и что делать?
Ситуация вызывает вопросы к процессу управления уязвимостями в Microsoft. Если патч, выпущенный в 2020 году, действительно был отозван или не работал должным образом, это серьёзный провал. Некоторые эксперты предполагают, что исправление могло быть случайно удалено при рефакторинге кода драйвера в более поздних версиях Windows. Другие считают, что Microsoft просто не осознавала, что проблема осталась. В любом случае, теперь у администраторов есть несколько дней или недель до того, как эксплойт начнут активно применять в атаках.
Рекомендации для системных администраторов стандартные, но в данном случае их необходимо выполнить незамедлительно. В первую очередь следует отслеживать обновления Microsoft - компания, скорее всего, выпустит внеочередной патч. До его установки рекомендуется:
- ограничить запуск непроверенных исполняемых файлов на рабочих станциях;
- использовать средства контроля приложений (например, AppLocker) для блокировки неизвестных бинарников;
- усилить мониторинг событий безопасности, особенно на предмет попыток повышения привилегий;
- временно отключить или ограничить использование драйвера облачных файлов, если это возможно без критических последствий для бизнеса.
Выводы
Публикация рабочего эксплойта для уязвимости MiniPlasma - тревожный сигнал для всего ИТ-сообщества. Она показывает, что даже серьёзные проблемы, якобы исправленные много лет назад, могут вернуться из-за ошибок в процессе разработки или управления патчами. Системным администраторам стоит немедленно принять меры для снижения риска, а специалистам по безопасности - тщательно проанализировать, не скомпрометирована ли уже инфраструктура. В ближайшие дни мы, вероятно, увидим рост числа атак, использующих этот вектор, поэтому бдительность и скорость реакции сейчас критически важны.
Ссылки
- https://github.com/Nightmare-Eclipse/MiniPlasma
- https://www.cve.org/CVERecord?id=CVE-2020-17103
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103
