Хакер взломал защиту LSASS в Windows
KeyIso – ключ от сейфа Microsoft.
В июле 2022 года Microsoft внесла изменения в свою систему Protected Process Light (PPL), направленные на устранение уязвимости, позволяющей обходить защиту LSASS, критически важного процесса, который отвечает за хранение и управление учетными данными пользователей в Windows.
Несмотря на меры защиты, исследователи продолжают находить способы обойти новые барьеры. Одним из таких методов является использование уязвимых библиотек, более известный как «Bring Your Own Vulnerable DLL» (BYOVDLL), который позволяет загрузить уязвимую версию DLL-библиотеки в процесс LSASS и тем самым вернуть уязвимость в работу.
Специалист Orange Cyberdefense нашел способ обхода защитных механизмов Microsoft и выполнения произвольного кода в процессе LSASS. Для успешной атаки автор сосредоточился на службе CNG Key Isolation (KeyIso).
Автор решил проверить возможность загрузки уязвимой версии библиотеки keyiso.dll в LSASS. Для этого он изменил настройки реестра и указал путь к уязвимой версии библиотеки. Однако при попытке запуска службы специалист столкнулся с ошибкой, связанной с неподписанным файлом. То есть система не смогла найти цифровую подпись DLL, что препятствовало загрузке библиотеки.
В поисках решения проблемы автор обратился к каталогам файлов, которые содержат криптографические хэши для проверки подлинности файлов в Windows. Исследователь установил нужный каталог на тестовую машину и подтвердил, что система распознала подпись уязвимой библиотеки. Таким образом удалось загрузить уязвимую версию keyiso.dll в защищенный процесс LSASS.
Затем автор приступил к реализации полной цепочки эксплуатации уязвимостей. Для этого он зарегистрировал новый провайдер ключей, который использовал уязвимую версию библиотеки ncryptprov.dll. После регистрации автор смог подтвердить, что уязвимая версия DLL была успешно загружена в процесс LSASS с помощью System Informer.
В финальной части исследования автор смог запустить эксплойт, который подтвердил успешное выполнение кода внутри защищенного процесса LSASS. Он использовал метод вывода отладочного сообщения через OutputDebugStringW, которое отобразилось в отладчике, тем самым подтвердив, что атака удалась – произвольный код был выполнен в контексте защищённого процесса.