Уязвимость в Microsoft Autopilot позволяет перехватить контроль над системой

Исследователи безопасности из австрийской компании SEC Consult рассказали об опасной уязвимости в инструменте для развертывания устройств в корпоративных сетях Microsoft Autopilot, эксплуатация которой позволяет перехватить контроль над компьютерной системой. Представители компании Microsoft отрицают наличие данной проблемы.

Проблема затрагивает процесс развертывания Autopilot и позволяет злоумышленнику или обычному пользователю повышать свои привилегии до уровня локального администратора. Это возможно даже в том случае, если в профиле Autopilot указаны следующие правила: новые пользователи добавляются в группу обычных непривилегированных пользователей, добавление новых локальных администраторов запрещено и запуск CMD через Shift+F10 в интерфейсе OOBE также запрещен.

Первым шагом в ходе эксплуатации уязвимости является включение устройства (ранее добавленного в Intune путем ручной загрузки уникального аппаратного хэша). Затем вручную вызывается ошибка путем физического удаления устройства безопасности TPM, то есть отсоединения его от используемой виртуальной машины. В таком случае развертывание завершится ошибкой.

При открытии окна с сообщением об ошибке потребуется кликнуть на кнопку ViewDiagnostics, а затем выбрать папку Rundll32.exe\10.0.0.1shell.dll,DLLMain. Таким образмом устанавливается shell-соединение с хостом атакующего в качестве пользователя по умолчанию — defaultuser0. Данный пользователь получает права администратора.

Для обхода системы UAC эксперты применили StoreFileSys, получив возможность создавать локального пользователя с правами администратора или внедрять другие бэкдоры. Устройство присоединяется обратно к локальной сети, установка ПО возобновляется и проходит успешно от начала и до конца. Пользователь defaultuser0 удаляется, однако созданные им локальные пользователи с повышенными правами сохраняются.

Специалисты сообщили о своих находках Microsoft, предоставив тестовый PoC-код для эксплуатации уязвимости. Техногигант сперва проигнорировал сообщение, а затем заявил, что проблемы нет, как и угрозы безопасности. После этого SEC Consult опубликовала технические подробности об уязвимости.