В Windows 10 и 11 появилась новая угроза. Захват учетной записи администратора

Системы Windows 10 и 11 от Microsoft столкнулись с новой угрозой безопасности под названием RID Hacking. Система Relative Identifier (RID) работает как уникальный идентификатор, определяющий уровень доступа пользователя. В результате атак, направленных на эту систему, учетная запись пользователя с низкими уровнями доступа может быть преобразована в учетную запись администратора. Какие же меры следует предпринять для защиты от этой угрозы?

Прежде всего, напомним, что RID — это уникальный идентификационный номер, присваиваемый каждому пользователю в Windows. Например, учетная запись администратора может иметь значение RID «500», в то время как обычный пользователь может иметь значение RID «1000». Изменяя это значение, RID Hacking может увеличить привилегии учетной записи. Однако для осуществления этой атаки злоумышленник должен сначала получить права SYSTEM в системе. Типичный процесс, которому следует злоумышленник, выглядит следующим образом:

• Получена авторизация SYSTEM: Злоумышленник получает доступ на уровне SYSTEM, используя уязвимости в системе безопасности.

• Создается секретная учетная запись: Учетная запись с низкими полномочиями создается с помощью команды «net user», и эта учетная запись видна только в реестре SAM (Security Account Manager).

• Изменение RID: Злоумышленник сопоставляет значение RID этой учетной записи с учетной записью администратора. Это увеличивает полномочия учетной записи.

• Удаленный доступ разрешен: Злоумышленник добавляет новую учетную запись в группу пользователей и администраторов удаленного рабочего стола.

• Следы удалены: Злоумышленник редактирует данные реестра и очищает системные журналы, чтобы скрыть свои действия.

Для защиты от атак типа RID Hacking можно предпринять следующие меры:

• Ограничьте доступ к реестру SAM: Очень важно предотвратить доступ неавторизованных пользователей к этой области.

• Используйте многофакторную аутентификацию: Она создает дополнительный уровень безопасности для всех учетных записей.

• Блокируйте использование подозрительных инструментов: ограничьте выполнение инструментов, используемых в атаках, таких как PsExec и JuicyPotato.

• Отключить гостевые учетные записи: Эти учетные записи, включенные по умолчанию, могут представлять опасность.

Источник: shiftdelete