Ifølge en ny sikkerhedsrapport, Microsofts tingenes internet-version af Windows kan udnyttes i et angreb, kaldet SirepRAT, hvor hackere kan få fuld kontrol over systemet.
Sårbarheden blev annonceret under WOPR Sommer i New Jersey, hvor SafeBreach forsker Dor Azouri demonstrerede udnytte som tillader en tilsluttet enhed til køre systemniveau kommandoer på andre enheder, der kører OS.
Hvad er Windows tingenes internet?
Windows tingenes internet, tidligere Windows Embedded, er en familie af operativsystemer beregnet til brug i indlejrede systemer. Det skal bemærkes, at Windows Embedded operativsystemer er tilgængelige for Original Equipment Manufacturers, der gør det til rådighed for slutbrugerne præinstalleret med deres hardware.
Den lette version af Windows 10 især er skabt med lavt niveau adgang for udviklere. Det understøtter ARM CPU'er meget udbredt i IoT enheder. Statistikkerne viser, at denne OS tegner sig for næsten 23 procent af tingenes internet-løsninger udvikling, og er featured massivt i IoT gateways.
Hvad med angrebet overflade? Mød SirepRAT
Angrebet demonstreret af Dor Azouri og præsenteres i en nyligt offentliggjort hvidbog er kun gyldig for downloades versioner lager af Core udgave af Windows IoT, forlader de brugerdefinerede versioner, der anvendes i leverandørens produkter til side. Forskeren siger, at angrebet kan startes fra en maskine direkte forbundet til målet enheden via et Ethernet-kabel.
Mere specifikt, den påviste udnytte er rettet mod hardware Bibliotek Kit (HLK), en test ramme bruges til test hardwareenheder til Microsoft Windows 10 og Windows Server 2006. Den HLK består af en server og klient-software, med serveren bliver kaldt HLK Controller og kunden bliver et stykke software installeret på mål test enheder kaldet Sirep.
Det er her, problemet er - den Sirep proprietær protokol er et svagt punkt. En Sirep test tjeneste udsender regelmæssigt det unikke ID på netværket til at fremvise tilstedeværelsen af tingenes internet-enhed. Desuden, Windows tingenes internet Core er også designet til at lytte efter indkommende forbindelser gennem tre åbne porte på sin firewall.
Problemet er, at disse indgående forbindelser ikke autentificeret hvilke organer at enhver enhed kan kommunikere med Sirep testanordningen via et Ethernet-kabel. Forskeren siger også, at spørgsmålet kan være udløst af den måde, hvorpå tingenes internet test service blev porteret fra den gamle Windows Phone OS, som har påberåbt sig USB-tilslutninger.
Hvordan kan dette smuthul udnyttes? -Godkendte indretninger kan muligvis sende en række kommandoer via havnene, således tillader dem at få systeminformation fra indretningen. Andre uønskede aktiviteter omfatter hentning og uploade filer, og få fil information. Men, den mest potente er LaunchCommandWithOutput kommando, som henter program path og kommandolinjeparametre nødvendige for at lancere kommandoer på enheden. Denne information kan udnyttes af truslen skuespiller til at køre processer på en tingenes internet-enhed fra en ikke-godkendt maskine.
Når det er sagt, Dor Azouri og hans team var i stand til at skabe et værktøj, døbt SirepRAT som giver deres angrebsscenarie baseret på fejlen i Windows tingenes internet.
Hvordan gjorde Microsoft reagere?
Tilsyneladende, selskabet sagde det ikke vil anerkende rapporten, fordi Sirep er en valgfri funktion i Windows tingenes internet kerne, sikkerhedseksperter rapporteret.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: