De acordo com um novo relatório de segurança, versão Internet das coisas do Windows da Microsoft podem ser exploradas em um ataque, chamado SirepRAT, onde os hackers podem assumir o controle total do sistema.
A vulnerabilidade foi anunciada durante o verão WOPR em Nova Jersey, onde o pesquisador do SafeBreach Dor Azouri demonstrou a exploração que permite que um dispositivo conectado execute comandos de nível de sistema em outros dispositivos que executam o sistema operacional.
O que é o Windows IoT?
o Windows Internet das coisas, anteriormente Windows Embedded, é uma família de sistemas operacionais destinados ao uso em sistemas embarcados. Deve-se observar que os sistemas operacionais Windows Embedded estão disponíveis para fabricantes de equipamentos originais que os disponibilizam para usuários finais pré-carregados com seu hardware.
A versão leve do Windows 10 em particular, é criado com acesso de baixo nível para desenvolvedores. Suporta CPUs ARM amplamente utilizadas em dispositivos IoT. As estatísticas mostram que este sistema operacional é responsável por quase 23 por cento do desenvolvimento de soluções IoT, e é apresentado maciçamente em gateways IoT.
E a superfície de ataque? Conheça SirepRAT
O ataque demonstrado por Dor Azouri e apresentado em um artigo publicado recentemente é válido apenas para versões de estoque para download da edição Core do Windows IoT, deixando de lado as versões personalizadas usadas nos produtos do fornecedor. O pesquisador afirma que o ataque pode ser lançado a partir de uma máquina conectada diretamente ao dispositivo alvo por meio de um cabo Ethernet.
Mais especificamente, a exploração demonstrada visa o kit de biblioteca de hardware (Hlk), uma estrutura de teste usada para testar dispositivos de hardware para Windows10 e Windows Server 2006. O HLK consiste em um servidor e um software cliente, com o servidor sendo denominado HLK Controller e o cliente sendo um software instalado nos dispositivos de teste alvo denominados Sirep.
É aqui que está o problema - o protocolo proprietário do Sirep é um ponto fraco. Um serviço de teste Sirep transmite regularmente a ID exclusiva na rede para mostrar a presença do dispositivo IoT. Além disso, O Windows IoT Core também foi projetado para ouvir conexões de entrada por meio de três portas abertas em seu firewall.
O problema é que essas conexões de entrada não são autenticadas o que significa que qualquer dispositivo pode se comunicar com o dispositivo de teste Sirep por meio de um cabo Ethernet. O pesquisador também diz que o problema pode ser desencadeado pela maneira como o serviço de teste de IoT foi transferido do antigo sistema operacional Windows Phone que dependia de conexões USB.
Como essa brecha pode ser explorada? Dispositivos não autenticados podem ser capazes de enviar uma variedade de comandos através das portas, permitindo-lhes obter informações do sistema a partir do dispositivo. Outras atividades indesejadas incluem a recuperação e o upload de arquivos, e obter informações do arquivo. Contudo, o mais potente é o comando LaunchCommandWithOutput, que recupera o caminho do programa e os parâmetros da linha de comando necessários para lançar comandos no dispositivo. Essas informações podem ser exploradas pelo ator da ameaça para executar processos em um dispositivo IoT a partir de uma máquina não autenticada.
Dito, Dor Azouri e sua equipe foram capazes de criar uma ferramenta batizada de SirepRAT, que permite seu cenário de ataque com base em a falha no Windows IoT.
Como a Microsoft respondeu?
Pelo visto, a empresa disse que não reconhecerá o relatório porque o Sirep é um recurso opcional no núcleo do Windows IoT, pesquisadores de segurança relatado.