27/03/19
На GitHub опубликован исходный код средства удалённого администрирования SirepRAT, который позволяет удалённо запускать произвольный код на устройствах интернета вещей под управлением Windows 10 с привилегиями максимального уровня - SYSTEM.
Речь идёт об операционной системе Windows 10 IoT Core, облегчённой и оптимизированной для простых и маломощных устройств на базе процессоров ARM и x86/x64. Эта операционная система совместима с универсальными приложениями и драйверами, но не поддерживает командные оболочки или приложения Microsoft.
Экспериментальный эксплойт нацелен на сервис тестирования SIREP, встроенный в «любое устройство интернета вещей, подключённое к локальной сети по кабелю, на котором установлена Windows IoT Core с официальным образом Microsoft».
Автор эксплойта Дор Азури (Dor Azouri) указывает, что IoT-редакция Windows 10 существует в двух вариантах: IoT Core и IoT Enterprise. В отличие от первой, Enterprise - платная и поддерживает только чипсеты X86/x64; при этом в ней отсутствуют тестовые средства, такие как SIREP.
Азури указывает, что свой эксплойт он пробовал только на бесплатной версии. Тестовая служба SIREP функционирует только на устройствах с проводным Ethernet-подключением.
Для экспериментов использовался миникомпьютер Raspberry Pi3, однако Азури уверен, что проблема не зависит от конкретной аппаратной платформы.
«Эта служба является клиентским компонентом установочного набора HLK (Hardware Lab Kit), который можно скомпилировать для тестирования драйверов и аппаратной части устройства интернета вещей, - написал Азури. - Он использует протокол Sirep/WPCon/TShell. Мы проанализировали Sirep/WPCon и продемонстрировали, как этот протокол выдаёт потенциальным злоумышленникам интерфейс для выполнения удалённых команд. в том числе позволяющий пересылать в обе стороны произвольные файлы в произвольном местоположении и получать системную информацию».
Проблемный интерфейс присутствует по умолчанию в образах, распространяемых Microsoft. Условия лицензии Microsoft требуют создания кастомного образа для устройств, предполагающихся для коммерческого использования. Однако, как отметил Азури, большинство конечных пользователей не станет создавать собственных образов (тем более, что это требует получение сертификата безопасности от соответствующей структуры), а следовательно, устройства на базе Windows 10 IoT Core - а таковые используются много где, включая коммерческие структуры, - останутся уязвимыми. Никакой авторизации на самом устройстве для атаки не потребуется.
«Масштаб проблемы, с одной стороны, ограничен, поскольку предложенный RAT работает только «через кабель», с другой стороны, простота использования и возможность обойти всякую авторизацию представляет очень серьёзную угрозу, - считает Антон Медведев, эксперт по информационной безопасности компании SEC Consult Services. - Даже одно скомпрометированное устройство интернета вещей, интегрированное в локальную сеть, может стать точкой входа для злоумышленников».
