Un cercetător din domeniul securității de la Google tocmai a dezvăluit detalii despre o vulnerabilitate severă neatacată veche de 20 de ani care afectează toate versiunile Microsoft Windows, de la Windows XP la cel mai recent Windows 10.
Vulnerabilitatea constă în modul în care clienții MSCTF și serverul comunică între ei, permițând chiar și unei aplicații privilegiate mici să citească și să scrie date într-o aplicație privilegiată superioară.
MSCTF este un modul din Text Services Framework (TSF) al sistemului de operare Windows care gestionează lucruri precum metode de introducere, dispunerea tastaturii, procesare text și recunoaștere vocală.
Pe scurt, atunci când vă logati în Windows, pornește un serviciu de monitorizare CTF care funcționează ca o autoritate centrală pentru gestionarea comunicațiilor între toți clienții, care sunt de fapt procese care rulează în aceeași sesiune.
Echipa Google Project Zero a descoperit că, pentru că nu există un control de acces și niciun fel de autentificare în loc pentru această interacțiune, orice aplicație, orice utilizator și chiar procese pot sa:
se conecteze la sesiunea CTF singur,
citească și să scrie textul oricărei ferestre, din orice altă sesiune,
falsifice Thread ID-ul, sa falsifice ID-ul procesului și chiar si falsificarea HWND-ului,
pretindă ca sunt un serviciu CTF, păcălind alte aplicații, chiar și cele privilegiate, pentru a se conecta la acesta
escaladeze privilegiile
Demo: Windows 10 x64 Build 1903
Sursa: https://thehackernews.com/2019/08/ctfmon-windows-vulnerabilities.html