Diretiva de Grupo do Windows: Erro permite que invasores obtenham direitos de administrador

A Microsoft corrigiu um erro detectado em todas as vers├Áes atuais do Windows e permite que os invasores aproveitem o recurso “Diretiva de Grupo” do Windows para obter o controle total de um computador. Esse bug detectado na “Diretiva de Grupo” do Windows afeta todas as vers├Áes do Windows a partir do Windows Server 2008. Os administradores do Windows podem controlar remotamente todos os dispositivos Windows em uma rede atrav├ęs do recurso “Diretiva de Grupo”. Em particular, esse recurso permite que os administradores criem uma pol├ştica de configura├ž├úo universal centralizada para sua organiza├ž├úo, promovida em todos os dispositivos Windows em sua rede. Essas pol├şticas permitem que um administrador controle como um computador pode ser usado, como desativar configura├ž├Áes de aplicativos, banir aplicativos, ativar e desativar fun├ž├Áes do Windows e at├ę mesmo desenvolver o mesmo papel de parede em cada computador com Windows.

Para testar novas diretivas de grupo do Windows, os dispositivos Windows usam o servi├žo “Cliente de Diretiva de Grupo” ou “gpsvc”, que ser├í conectado regularmente ao controlador de dom├şnio e verificar├í novas atualiza├ž├Áes de diretiva de grupo. Para implementar adequadamente essas novas diretivas de grupo, o servi├žo “gpsvc” ├ę configurado para funcionar com direitos “SYSTEM”, que fornecem os mesmos direitos e permiss├Áes da conta do administrador.

O Group Policy Client permite que os invasores obtenham privil├ęgiosComo parte das atualiza├ž├Áes de seguran├ža da Patch Tuesday de junho de 2020, a Microsoft corrigiu o CVE-2020-1317 (erro de escala de privil├ęgio “Diretiva de Grupo”) que permite que invasores locais executem qualquer comando com privil├ęgios de administrador. Esse erro foi descoberto pela empresa de seguran├ža cibern├ętica CyberArk, que detectou um ataque no link simb├│lico, em um arquivo usado para atualizar a pol├ştica de um grupo para obter privil├ęgios aumentados. Este erro pode afetar qualquer computador com Windows (2008 ou posterior). Quando voc├¬ executa uma atualiza├ž├úo de grupo de pol├şticas que se aplica a todos os dispositivos em uma organiza├ž├úo, o Windows grava as novas pol├şticas em um computador em uma subpasta de pasta.% LocalAppData%, para o qual cada usu├írio, incluindo um usu├írio padr├úo, est├í licenciado. Por exemplo, se a pol├ştica estiver relacionada a impressoras, ela ser├í armazenada em: C: Usu├írios [user] AppData Local Microsoft Pol├ştica de Grupo Hist├│rico szGPOName. USER-SID Preferences Printers Printers.xml. Tendo acesso total a um arquivo conhecido por ser usado por um processo privilegiado pelo SYSTEM, o CyberArk descobriu que eles poderiam criar um link simb├│lico entre o arquivo em um comando RPC executando uma DLL.

Como o servi├žo “Cliente de Pol├ştica de Grupo” opera com direitos “SISTEMA”, quando eles tentam implementar as pol├şticas nesse arquivo, ele executa qualquer DLL que os invasores com direitos “SISTEMA” desejam. Para ativar esse erro, os invasores locais podem executar o programa gpupdate.exe, que executa a sincroniza├ž├úo autom├ítica da equipe do grupo. Esse comando acionaria uma atualiza├ž├úo de diretiva e executaria uma DLL maliciosa de um invasor.

De acordo com o CyberArk, as etapas para aproveitar esse erro são as seguintes:

  • Digite o grupo de pol├şticas GUID em que voc├¬ est├í C: Usu├írios usu├írio AppData Local Microsoft Pol├ştica de Grupo Hist├│rico .
  • Se voc├¬ possui bastante GUID, verifique qual diret├│rio foi atualizado recentemente.
  • V├í para este diret├│rio e o subdiret├│rio, que ├ę o usu├írio do SID.
  • D├¬ uma olhada na lista modificada mais recente. Isso ser├í diferente no seu ambiente.
  • Excluir o arquivo Printers.xml, no cat├ílogo da impressora.
  • Crie um ponto de anexo NTFS em Controle RPC + um link simb├│lico do Gerenciador de Objetos com Printers.xml em C: Windows System32 everything.dll.
  • Abra seu terminal favorito e execute gpupdate.
  • Com usu├írios padr├úo, sem privil├ęgios, ainda capazes de criar arquivos em locais arbitr├írios, os invasores podem eventualmente explorar esse erro para aumentar seus privil├ęgios. Como esse erro afeta milh├Áes, sen├úo bilh├Áes, de computadores, ├ę um grave erro de seguran├ža que precisa ser resolvido por todos os administradores do Windows o mais r├ípido poss├şvel. O CyberArk revelou esse erro ├á Microsoft em junho passado, e a Microsoft o corrigiu com as atualiza├ž├Áes de seguran├ža do Patch Tuesday de junho de 2020.