Дыра, позволяющая запустить любое приложения на экране входа в Windows

В этой статье мы поговорим об интересном трюке в ОС семейства Windows, позволяющем выполнить любую команду с правами системы прямо на экране входа в Windows до прохождения процедуры авторизации. Данную процедуру, естественно, можно использовать в благих целях (например для быстрого сброса пароля администратора), но также ею могут воспользоваться злоумышленник, который после получения доступа к вашей системе, может оставить себе подобную консоль доступа, которую достаточно сложно детектировать. Сразу оговоримся, что это не классическая уязвимость или дыра, а просто кривизна архитектуры Windows.

Методика хака заключается в использовании функционала “Sticky Keys” (функция активации залипания клавиш, включаемая при пятикратном нажатии клавиши [Shift] в Windows). Подменив исполняемый файл Sticky Keys – sethc.exe на любой другой файл, можно добиться того, чтобы вместо запуска утилиты включения залипания клавиши, запускалась нужная программа. Попробуем с использованием подобной методики запустить окно командной строки прямо на экране входа в Windows.
Методика подмены файл следующая (если система установлена в другой раздел, отличный от C:, подкорректируйте команды):

1. Сделаем резервную копию файла, скопировав его в корень диска C:

   copy c:\windows\system32\sethc.exe c:\

2. Заменим файл sethc.exe файлом командной строки,

   copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

Еще один способ применения хака – установка отладчика для sethc.exe, это можно сделать командой:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

Затем перезагружаем систему и на экране входа в Windows пять раз нажимаем клавишу SHIFT, в результате чего запускается окно командной строки, которым мы заменили программу sethc.exe. Вся прелесть в том, что   командная строка запускается с правами SYSTEM, тем самым мы получаем полный доступ к компьютеру и можем запустить что угодно, хоть оболочку Explorer!

Эта достаточно старая дыра в системе безопасности Windows, когда разнообразные системные приложения запускаются не из под ограниченной учетной записи, а из-под всемогущей SYSTEM. Подобный трюк будет работать и в Windows 7 и в Windows Server 2008 R2 и в Windows 8 Consumer Preview. И что особенно интересно, он сработает даже при терминальном подключении к серверу по RDP сессии (скрин ниже)!

Диапазон применения подобной методики подмены системных исполняемых файлов достаточно широк. Обезопасить свою систему можно, отключив залипание клавиш Sticky Keys на компьютере (это можно сделать через панель управления).