Microsoft a lansat recent o nouă funcție de securitate, numită „administrator protection”, menită să întărească protecția sistemului de operare Windows împotriva unor atacuri de escaladare a privilegiilor. În teorie, această inovație ar trebui să limiteze vulnerabilitățile cauzate de modul în care Windows gestionează privilegii, reducând riscul ca malware sau actori rău intenționați să obțină acces administrator pe sistemele compromis. Însă, în spatele promisiunilor de securitate, un cercetător de securitate de la Google Project Zero a reușit să demonstreze că sistemul nu este deocamdată imun la alte vulnerabilități vechi, unele chiar „moștenite” din arhitectura Windows mai vechi.
Rezistența concretă a sistemului: vulnerabilități mai vechi în noile contexte
James Forshaw a descoperit şi raportat nouă vulnerabilități care ar putea fi exploatate pentru a obține privilegii administrative „tăcute” pe sistemele pe care este activată funcția de „administrator protection”. Deși Microsoft a intervenit rapid, remediind aceste probleme înainte ca funcția să fie lansată pe scară largă, descoperirea scoate în evidență un aspect crucial în dezvoltarea de soluții de securitate moderne pentru Windows: trecutul nu poate fi ignorat. Chiar dacă noile mecanisme sunt gândite pentru o izolare mai bună a sesiunilor de privilegiu, comportamentele moștenite de-a lungul anilor pot reapărea în cele mai neașteptate moduri.
Ce demonstrează acest exemplu? Că structurile vechi, aparent inofensive, pot deveni vulnerabile din nou în cazul în care arhitectura sistemului nu ia în considerare complet tot istoricul de comportament. În cazul vulnerabilităților identificate, attack-ul se bazează pe modul în care kernelul Windows creează directoare și obiecte de dispozitive „on demand”, nu în momentul autentificării, permițând atacatorilor să manipuleze aceste procese și să obțină control fără să fie avertizați. Astfel, o chestiune tehnică aparent minoră devine o oportunitate pentru exploatarea unui bug, dacă nu se face o testare rigurosă, de tip „red team”, care să simuleze scenarii din viața reală.
De ce contează noile vulnerabilități și ce înseamnă pentru utilizatori
Este un exemplu clar de cât de complicată și subtilă e securitatea sistemelor de operare moderne. Chiar dacă Microsoft a remediat vulnerabilitatea, eliminând posibilitatea de a crea anumite directoare interne în condiții vulnerabile, problema evidențiază dificultatea de a construi un mecanism complet sigur în contextul unei arhitecturi complexe și moștenite. „Administrator protection” nu este doar o nouă funcție, ci o schimbare structurată, menit să minimizeze suprafața de atac, dar care, în același timp, scoate la iveală „quirks” vechi din Windows.
Noile vulnerabilități relevă faptul că, indiferent de cât de bine intenționează Microsoft să fortifice sistemul, vechile comportamente pot reînvia în contextul unor modificări, uneori chiar de la început, dacă nu sunt testate în mod explicit. Exploatările observe demonstrează că orice schimbare în modul de creare și gestionare a sesiunilor elevate de privilegiu poate crea oportunități neașteptate pentru cei rău intenționați.
Ce pot face utilizatorii pentru a reduce riscul
Dincolo de remediile tehnice și patch-urile care vor fi implementate, utilizatorii pot lua măsuri simple, dar eficiente pentru a-și proteja device-urile. Prima regulă este să păstreze sistemul actualizat în mod regulat, mai ales că Microsoft lansează frecvent actualizări care adresează vulnerabilități de escaladare a privilegiilor. În plus, folosirea unui cont standard în ziua de zi, în locul unui cont administrator permanent, reduce drastic suprafața de atac. Atenția la promptul de elevare, dar și evitarea automate a confirmărilor sau scripturilor care rulează cu privilegii ridicate, pot preveni încercările de exploatare.
De asemenea, participarea în programele de testare (Insider) trebuie făcută numai pe sisteme dedicate, pentru a evita riscul unor compromisuri de date sau funcționalitate în mediile de lucru. În final, conștientizarea faptului că vechile comportamente ale sistemului pot reapărea chiar și în cele mai bine intenționate actualizări este cheia pentru o apărare solidă. Într-un cuvânt, securitatea Windows evoluează, dar orice sistem construit pe baze istorice trebuie să fie privit cu vigilență, indiferent de noile inovații.
