0-DAY в DROPBOX

Независимые исследователи обнаружили в Windows-клиенте Dropbox опасную уязвимость нулевого дня. Ошибка, для которой еще не вышел патч, позволяет злоумышленнику получить максимальные привилегии на машине и открывает доступ к командной строке.

Угроза содержится в компоненте, который обеспечивает обновление клиентской программы. Исследователи установили, что этот модуль устанавливается на компьютере как сервис. В планировщике задач для него формируются два вызова с уровнем доступа SYSTEM.

Свои файлы журнала сервис записывает по адресу C:\ProgramData\Dropbox\Update\Log. Стандартный уровень доступа позволяет всем пользователям добавлять, редактировать и удалять содержимое в этой папке. Кроме того, аккаунт уровня SYSTEM отправляет к хранящимся там файлам вызов SetSecurity. Именно этим и воспользовались эксперты, предложив системе скомпрометированный объект с помощью жесткой ссылки.

Метод требует от взломщика локального доступа к целевой системе. Кроме того, для применения эксплойта необходимо с точностью до миллисекунды знать время записи очередного события — оно указывается в имени файла, через который идет атака. Исследователи смогли взять этот процесс под контроль, используя блокировку oplock и создав 999 жестких ссылок с разными значениями времени.

В итоге эксперты смогли переписать файл с лицензионным соглашением Windows, который хранится в защищенной папке с уровнем доступа SYSTEM. Дальнейшие манипуляции позволили им вызвать командную строку с такими же привилегиями.

Демонстрация эксплойта в действии

Исследователи сообщили Dropbox об уязвимости 18 сентября. Разработчики пообещали устранить ошибку в октябре, однако баг остается актуальным по сей день.

Специалисты подразделения 0patch компании ACROS Security, которые создают микрозаплатки к уязвимостям нулевого дня в отсутствие официальных обновлений, подготовили вариант патча, отключающий в DropBox Updater возможность записи в журнал событий. По словам экспертов, такое изменение не влияет на общую функциональность программы и не мешает установке обновлений. Единственное негативное последствие — возможные трудности при определении причин неполадок ПО.

Операторы платформы 0patch также предположили, что угроза связана с излишними правами доступа к папке Program Data. Если запретить рядовым пользователям записывать в нее данные, подобная атака будет невозможной. Авторы эксплойта, со своей стороны, уточнили, что в будущих релизах Windows разработчики Microsoft устранят угрозу злоупотреблений жесткими ссылками.