Специалисты SEC Consult рассказали о возможности создания бэкдоров благодаря инструменту Microsoft для развертывания новых устройств в корпоративной сети. Об этом передает издание Conews.
Австрийская компания SEC Consult заявила об обнаружении «дыры», допускающей повышение привилегий, в Microsoft Autopilot, инструменте для развертывания устройств в корпоративных сетях. В Microsoft сообщили, что ошибкой выявленная проблема не является. В SEC Consult с такой позицией не согласились и опубликовали технические подробности.
Windows Autopilot — это совокупность технологий, которые задействуют для настройки и предварительной конфигурации новых устройств в корпоративной сети с внедрением OEM-оптимизированной версии Windows 10. Она затем может быть преобразована в несколько других вариантов ОС — «профессиональную» или «корпоративную». Помимо этого, Autopilot применяется для снятия гаджета с учета, сброса параметров настроек, переназначения или восстановления устройств.
Эксперты SEC Consult обнаружили критический, по их мнению, баг, касающийся процесса развертывания Autopilot, который дает возможность злоумышленнику или обычному пользователю повышать свои привилегии до уровня локального администратора.
Это актуально даже если в профиле развертывания Autopilot специально обозначено, что новые юзеры могут добавляться только в группу обычных непривилегированных юзеров. При этом добавление новых локальных администраторов запрещено, да и запуск CMD через Shift+F10 в интерфейсе OOBE запрещен однозначно.
Проблема существует минимум в двух сценариях Windows Autopilot — User-Driven (управляемый пользователем) и pre-provisioning (предварительно подготовленное развертывание). Также предполагается, что проблема может эксплуатироваться и в других сценариях.