Microsoft CTF-protocol kan ertoe leiden dat uw Windows-apps worden gekaapt [Partition Magic]

Samenvatting :

CTF

In dit artikel wordt melding gemaakt van een kwetsbaarheid met betrekking tot het CTF-protocol, een Microsoft-protocol dat door alle versies van het Windows-besturingssysteem sinds Windows XP wordt gebruikt. Bekijk dit bericht van MiniTool om te zien hoe de kwetsbaarheid uw computerbeveiliging beïnvloedt.





Snelle navigatie :

CTF is een ongedocumenteerd Windows-protocol dat betrokken is bij de Microsoft Kader voor tekstservices . Ondanks dat het door alle versies van het Windows-besturingssysteem sinds Windows XP wordt gebruikt, is het onveilig en kan het gemakkelijk worden misbruikt.

Onlangs heeft een bekende beveiligingsonderzoeker, Tavis Ormandy, een kwetsbaarheid gevonden in het Microsoft CTF-protocol, waardoor hackers elke Windows-app kunnen kapen en zelfs beheerdersrechten kunnen krijgen.

Volgens Tavis Ormandy, de beveiligingsonderzoeker van het elite-beveiligingsteam Project Zero van Google, en de persoon die het buggy-protocol heeft gevonden, kunnen hackers of malware die al voet aan de grond hebben op de computer van de gebruiker het protocol gebruiken om elke applicatie over te nemen, applicatie, of zelfs het hele besturingssysteem.



is antivirus nodig miniatuur Is antivirus nodig voor Windows 10/8/7? Krijg nu het antwoord!

Is antivirus nodig voor Windows 10/8/7 om uw pc veilig te houden? Lees dit bericht om het antwoord te krijgen, en u kunt ook enkele manieren kennen om malware te voorkomen.

Lees verder

Wat is CTF

Waar CTF eigenlijk voor staat is niet bekend. Zelfs voor bekende beveiligingsonderzoekers zoals Ormandy kunnen ze de betekenis ervan niet in alle Microsoft-documentatie vinden.

Het enige wat ze konden ontdekken was dat de CTF deel uitmaakt van het Windows Text Services Framework (TSF), een COM-framework en API in Windows XP en latere Windows-besturingssystemen die geavanceerde tekstinvoer en tekstverwerking ondersteunen, namelijk het systeem dat de tekst die wordt weergegeven in Windows en Windows-toepassingen.



Wanneer gebruikers een app starten, start Windows ook een CTF-client voor die app. Vervolgens ontving de CTF-client instructies van een CTF-server in termen van de systeemtaal van het besturingssysteem en de toetsenbordinvoermethoden.

Als de invoermethode van het besturingssysteem van de ene taal naar de andere verandert, zullen de CTF-servers alle CTF-clients op de hoogte stellen, zodat de taal in elke Windows-app dienovereenkomstig wordt gewijzigd. En het is realtime verandering.

De impact van de kwetsbaarheid in het CTF-protocol

Volgens de bekende beveiligingsonderzoeker Ormandy ontdekte hij dat de communicatie tussen de CTF-clients en de CTF-servers niet goed geauthenticeerd of beveiligd is.



Hij beweerde dat elke applicatie, elke gebruiker - zelfs sandbox-processen - verbinding kan maken met elke CTF-sessie. Klanten moeten hun thread-ID, proces-ID en HWND rapporteren, maar er is geen authenticatie bij betrokken. En je kunt gewoon een leugen verzinnen.

En op deze manier kunt u verbinding maken met de actieve sessie van een andere gebruiker en elke applicatie overnemen. U kunt ook wachten tot een beheerder inlogt en diens sessie compromitteert.

Als de CTF-sessie van de app met succes is gekaapt, kan de aanvaller opdrachten naar die app sturen en zich gedragen als de server, normaal gesproken het Windows-besturingssysteem.



En de gevolgen zijn dat de aanvaller gegevens van andere apps kan stelen en ook een commando kan geven in de naam van die apps.

Als de aangevallen app hoge privileges heeft, is het nog erger. De aanvaller kan zelfs de volledige controle over de computer van het slachtoffer overnemen.

Ormanly nam ook een demo op om dit te bewijzen. In de video kaapte hij de CTF-sessie van het Windows-inlogscherm, waarmee hij bewees dat alles in Windows gehackt kan worden dankzij CTF.

CTF-hacktool is online beschikbaar

Onlangs publiceerde Ormandy een blogpost om de CTF-kwetsbaarheid verder uit te leggen. Bovendien heeft hij ook een tool op GitHub uitgebracht om andere gebruikers te helpen het protocol op andere problemen te testen.

Het beveiligingslek staat hackers misschien niet toe computers binnen te dringen, maar het stelt hen wel in staat om op een zeer eenvoudige manier beheerdersrechten te verkrijgen op geïnfecteerde Windows-systemen, wat een groot probleem is.

Er wordt gezegd dat Microsoft de bug die Ormandy deze maand meldde, heeft gepatcht. De kwetsbaarheid en fixes van het CTF-protocol worden bijgehouden als: CVE-2019-1162 . Vanwege de diepgewortelde kwetsbaarheden in het protocol en het ontwerp ervan, valt het echter te bezien of patches die Microsoft heeft uitgebracht voldoende zijn.