Windows 10 S to system, którego odporność wynika głównie z ograniczeń związanych z instalacją aplikacji. W systemie Windows 10 S możliwe jest (oficjalnie) zainstalowanie aplikacji dostarczanych tylko ze sklepu Windows Store. Poza tym producent zastosował dodatkowe ograniczenia chroniące Windows 10 S przed skutecznymi atakami za pomocą złośliwego kodu. Jakie to ograniczenia? Funkcjonalne, czyli m.in. brak dostępu do linii komend, brak narzędzi do tworzenia skryptów, czy skryptowej powłoki PowerShell dającej dostęp do praktycznie każdej funkcji Windows zdefiniowanej w interfejsie API tego systemu operacyjnego.
Użytkownik otrzymuje ograniczony dostęp do systemu i nie ma możliwości instalacji aplikacji z nieautoryzowanych źródeł. Czy powstrzymałoby to hakera? Okazuje się, że nie. Windows 10 S opierał się kontrolowanemu atakowi zaaranżowanemu przez wykwalifikowanego specjalistę przez całe… 3 godziny. Tyle bowiem czasu potrzebował ekspert ds. bezpieczeństwa Matthew Hickey, aby na prośbę redakcji serwisu ZDNet, włamać się do Windows 10 S.
Hickey doskonale zdawał sobie sprawę, że w przypadku tego systemu nie użyje standardowych narzędzi takich jak Wiersz polecenia czy PowerShell. Skorzystał zatem z “furtki” w postaci spreparowanego dokumentu Worda, zawierającego złośliwe makropolecenie umożliwiającego atak typu reflective DLL injection attack (wprowadzenie własnego kodu do dynamicznie łączonej biblioteki wykorzystywanej przez aplikację i współdzielonej przez uprzywilejowany proces systemowy). W tym konkretnym przypadku Hickey uruchomił Worda z uprawnieniami administratorskimi za pomocą Menedżera zadań systemu Windows. Ponieważ uruchomiony proces był przypisany do konta lokalnego (konta offline), miał on domyślnie uprawnienia administracyjne.
Zanim jednak zaczniemy “psioczyć” na Microsoft, trzeba oddać tej firmie sprawiedliwość: atak za pomocą makropolecenia nie mógłby być przeprowadzony jedynie za pomocą “zainfekowanego” dokumentu. Microsoft doskonale wie, jakie ryzyko niosą ze sobą makropolecenia i standardowo blokuje możliwość ich uruchamiania, gdy plik pochodzi z nieautoryzowanych źródeł. W jaki zatem sposób udało się Hickeyowi dokonać ataku? Ominął on ograniczenie, pobierając plik z udostępnionego udziału sieciowego znajdującego się w tej samej sieci lokalnej, co atakowany komputer. W tym przypadku blokada nie zadziałała, ponieważ udział sieciowy we własnej sieci lokalnej jest standardowo uznawany przez Windows 10 S za lokalizację zaufaną.
Niemniej, gdy makro Hickeya przedostało się na atakowany komputer i zostało na nim uruchomione, uzyskał on dostęp do powłoki systemowej z uprawnieniami administratorskimi, co wykorzystał m.in. do zainstalowania oprogramowania Metapoilt używanego w testach penetracyjnych. Po trzech godzinach ekspert otrzymał pełny dostęp do “zaatakowanego” systemu i mógł z nim zrobić cokolwiek włącznie ze zdalną instalacją jakiegokolwiek szkodnika, np. ransomware’u.
Wnioski? Zapewnienia Microsoftu o pełnej szczelności Windows 10 S z pewnością należy uznać za nieco przesadzone. Z drugiej strony trzeba zauważyć, że atak nie powiódłby się, gdyby nie założenie Microsoftu, że udziały udostępniane komputerom z Windows 10 S korzystającym z tej samej sieci lokalnej są domyślnie uznawane za zaufane. Innymi słowy, Microsoft założył, że własna sieć użytkownika komputera z Windows 10 S jest bezpieczna. W efekcie możemy stwierdzić, że Windows 10 S istotnie jest bezpiecznym systemem, pod warunkiem, że sieć lokalna, do której podłączony jest komputer, również jest bezpieczna. | CHIP
