Skip to main content
Эксплойт в процессе LSASS Windows, найденный исследователем

Обход защиты LSASS в Windows. Как исследователь нашёл уязвимость в хранилище учётных данных

 |  Alex

Несмотря на усилия Microsoft по улучшению безопасности Windows, исследователи продолжают находить лазейки в защитных механизмах. Специалист из Orange Cyberdefense обнаружил уязвимость, позволяющую выполнить произвольный код в процессе LSASS — важном компоненте Windows, отвечающем за хранение учётных данных пользователей.

В июле 2022 года Microsoft обновила систему Protected Process Light (PPL), чтобы закрыть одну из уязвимостей, которая позволяла обходить защиту LSASS. Однако исследователи выяснили, что метод использования уязвимых библиотек (BYOVDLL) всё ещё возможен.

Исследование сфокусировалось на службе CNG Key Isolation (KeyIso) и попытке загрузить её уязвимую версию (keyiso.dll) в LSASS. Первая попытка оказалась неудачной, поскольку система заблокировала загрузку DLL без цифровой подписи.

Однако исследователь нашёл решение: он использовал каталоги файлов Windows, содержащие криптографические хэши для проверки подлинности. Установив правильный каталог, он добился распознавания подписи уязвимой библиотеки и загрузил её в LSASS.

Для успешной реализации атаки был зарегистрирован новый провайдер ключей, который использовал уязвимую версию библиотеки ncryptprov.dll. После подтверждения загрузки DLL в LSASS, исследователь запустил эксплойт, который успешно выполнил код внутри защищённого процесса.

Эта уязвимость в очередной раз демонстрирует, что даже усиленные меры защиты могут оказаться недостаточными, и безопасность информационных систем остаётся вызовом, требующим постоянного совершенствования.

Привет! Меня зовут Alex, и я пишу о том, что действительно люблю – о компьютерах и технологиях. Если вы увлечены ПК, хотите собрать мощный игровой монстр или просто держите руку на пульсе IT-индустрии, мои статьи будут вам полезны. Я стараюсь просто и доступно объяснять сложные вещи, разбираюсь в новинках и анализирую тенденции. Мир технологий меняется каждую секунду, и вместе с Volt-PC я помогаю вам не просто идти в ногу со временем, но и опережать его.

Популярные статьи

Получить консультацию сервисного центра Volt-PC

Для того, чтобы консультацию в сервисном центре «Volt-PC» нужно позвонить по номеру телефона:
+7 (961) 51-00-228 или связавшись с нами через WhatsApp или Telegram.
Сервисный центр «Volt-PC» работает с 9.00 и до 21.00 без перерывов и выходных!

Мы старается заботится о своих клиентах и обеспечивать только качественный сервис.
Заказывая у нас услуги обслуживания и ремонта компьютерной техники в Краснодаре Вы можете быть абсолютно уверены, что получите не только качественное оказание услуг, но и грамотную консультацию и техническую поддержку.