Уязвимости в MMC позволяют перехватить контроль над системой

Консоль управления Windows (Microsoft Management Console, MMC), используемая системными администраторами для конфигурации и отслеживания работы системы, содержит ряд уязвимостей, воспользовавшись которыми злоумышленники смогут внедрить вредоносное ПО или перехватить контроль на атакуемой машиной.

Группа уязвимостей, включающая XSS- и XXE-баги, получила общий идентификатор CVE-2019-0948. Атакующие могут проэксплуатировать проблемы с помощью механизма snap-in (оснастки) в MMC. Оснастки представляют собой небольшие программы, позволяющие настроить разные аспекты системы.

Для того чтобы воспользоваться уязвимостью, злоумышленнику потребуется создать файл с расширением .msc, содержащий специально сформированный XML контент, а затем убедить авторизованного пользователя (например, с помощью социальной инженерии) импортировать этот файл. Как пояснили исследователи из Check Point, обнаружившие баги, атакующий может создать файл с оснасткой Link to Web Address (ссылка на web-ресурс) и включить в него ссылку на собственный сервер, таким образом будет происходить переадресация на страницу с вредоносным кодом.

Точно так же злоумышленник может создать файл с оснасткой ActiveX Control (элемент ActiveX) и сохранить его как .msc файл, изменив в разделе StringsTables значение строки на подконтрольный ему вредоносный URL.

По словам экспертов, файлы MMC используются системными администраторами и не рассматриваются антивирусами как вредоносные. Этим могут воспользоваться киберпреступники для перехвата контроля над ПК со статусом администратора и дальнейшего продвижения по сети.

Проблемы затрагивают версии Windows 7, Windows 8.1, Windows 10 и Windows Server 2008 — Windows Server 2019. Компания Microsoft уже исправила уязвимости с выпуском июньского пакета обновлений. В настоящее время случаев эксплуатации багов не зафиксировано.

Консоль MMC (Microsoft Management Console) — средство для открытия, создания и сохранения средств администрирования (называемых консолями MMC), которые управляют оборудованием, программными и сетевыми компонентами операционной системы MS Windows.

Источник: Securitylab