一位名叫塞巴斯蒂安·卡斯特罗的安全研究员发现了一种方法 在Windows PC上获得管理员权限和启动持久性 这不仅易于执行,而且难以停止。

RID劫持

此技术操作名为Relative Identifier(RID)的Windows用户帐户的参数。定义用户权限组的帐户安全标识符(SID)通常在末尾附加RID代码。

虽然有几种不同的RID可用,但最常用的RID是500用于管理员帐户,501用于标准来宾帐户。

通过操纵存储有关每个Windows帐户的信息的注册表项,可以修改与每个帐户关联的RID。

可以更改此RID并将其分配给另一个帐户组,该帐户组还将修改与其关联的权限。因此,术语“RID劫持”。

即使这种方法无法远程用于破解计算机(除非它没有受到密码的保护并且暴露在互联网上),攻击者可以通过恶意软件或蛮力获得对系统的控制。

他们可以简单地向受损的低级帐户授予管理员权限,从而在具有完全系统访问权限的Windows PC上创建永久后门。

更糟糕的是,可以部署此攻击而不会触发对受害者的警报,并且可以在Windows版本XP到10以及从Server 2003到Server 2016上运行。

没有来自Microsoft的回复

更令人不安的是,这个漏洞在2017年12月被发现,微软也收到了相同的通知。但该公司从未对此漏洞做出回应或修补。

值得庆幸的是,恶意软件作者没有注意到这种技术,或者至少没有涉及RID劫持的此类事件已经浮出水面。

为你工作: Robert Gaines & George Fleming | 想与我们联系?

在网站上评论: