Se ha identificado un nuevo método para explotar Windows Out-Box-Experience (OOBE) que omite las protecciones existentes y otorga acceso a la línea de comando administrativa a las máquinas de Windows.
Esta técnica funciona incluso cuando la medida de seguridad recomendada de Microsoft, el archivo DisableCMDRequest.tag, se implementa para bloquear la conocida vulnerabilidad de acceso directo de teclado SHIFT + F10.
El descubrimiento destaca las brechas de seguridad persistentes en el proceso de configuración inicial de Windows que podría permitir a los usuarios no autorizados obtener privilegios elevados y crear cuentas de puerta trasera en dispositivos corporativos.
Control de llave
1. Nuevo Win + R Exploit omite las protecciones de seguridad de Windows OOBE.
2. Otorga el acceso completo al administrador a través de la cuenta de CoFFaactS0er0 durante la configuración.
3. Microsoft no se solucionará; Solo la mitigación está ocultando los botones de reinicio de Intune.
Bypass de Win + R oBe
Kanbach informes que el método aprovecha la combinación de teclado Win + R para generar un diálogo Ocurrido de ejecución durante el proceso OOBE, eludiendo los controles de seguridad tradicionales.
A diferencia de la técnica Shift + F10 ampliamente documentada, este enfoque requiere una secuencia específica de acciones para ejecutar con éxito.
El proceso de explotación comienza abriendo una herramienta de accesibilidad como Magnify.exe para establecer el enfoque de ventana adecuado.
Una vez que la ventana Magnify está activa, presionando Win + R lanza el diálogo Run, aunque permanece oculto en el fondo.
Bypass de Win + R oBe
Los usuarios pueden revelar su presencia mediante el uso de Alt + Tab para recorrer las ventanas disponibles. La vulnerabilidad crítica radica en el hecho de que este diálogo funciona bajo el contexto de DefaultUser0, una cuenta administrativa temporal que Windows crea durante OOBE con los privilegios completos de grupos de administradores locales.
Para aumentar aún más los privilegios, los atacantes pueden escribir CMD.EXE en el diálogo Ejecutar y presione Ctrl + Shift + Enter para activar la elevación del consentimiento de la cuenta de la cuenta del usuario (UAC).
Cuando el indicador de la UAC aparece y se acepta, un símbolo del sistema elevado se abre con privilegios administrativos, lo que permite a los atacantes ejecutar modificaciones arbitrarias del sistema, crear cuentas de puerta trasera o alterar configuraciones de seguridad.
Respuesta de Microsoft
Este método de ruptura de OOBE plantea riesgos de seguridad significativos, particularmente en entornos empresariales donde los usuarios pueden iniciar restos de dispositivos a través del portal de la compañía de Microsoft Intune.
La vulnerabilidad permite que los usuarios de dominio de bajo privilegio obtengan efectivamente acceso administrativo local simplemente realizando un restablecimiento de botón y explotando la interfaz OOBE.
Microsoft se ha negado a abordar este problema de seguridad, afirmando que OOBE se ejecuta inherentemente en una sesión administrativa y que dejar dispositivos desatendidos durante la configuración es equivalente a dejar máquinas desbloqueadas.
La posición de la compañía trata esto como una preocupación de seguridad operativa en lugar de una vulnerabilidad de software que requiere parches.
La estrategia de mitigación principal implica evitar que los usuarios accedan a OOBE por completo ocultando el botón RESET en el Centro de Administración de Microsoft Intune en Administración de inquilinos> Personalización.
Los administradores deben habilitar el botón Ocultar restablecimiento en la configuración de dispositivos de Windows corporativos para evitar restablecimiento del dispositivo no autorizado.
Sin embargo, esto representa una solución incompleta que aborda los síntomas en lugar de la debilidad de seguridad arquitectónica subyacente en el proceso de configuración de Windows.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}