O recurso de recall da Microsoft é mais hackeável do que você pensava

O CEO da Microsoft, Satya Nadella, elogiou o novo recurso de recall da empresa, que armazena o histórico da área de trabalho do seu computador e o disponibiliza para análise da inteligência artificial, como uma “memória fotográfica” do seu computador. Enquanto isso, dentro da comunidade de segurança cibernética, a ideia de uma ferramenta que tira silenciosamente uma captura de tela da sua área de trabalho a cada cinco segundos foi aclamada como o sonho de um hacker que se tornou realidade e a pior ideia de produto na memória recente.

Agora, os investigadores de segurança apontaram que mesmo a única salvaguarda de segurança remanescente destinada a proteger esta funcionalidade da exploração poderia ser trivialmente derrotada.

Desde que o Recall foi anunciado pela primeira vez no mês passado, o mundo da segurança cibernética apontou que se um hacker puder instalar malware para se estabelecer em um dispositivo alvo com o recurso habilitado, ele poderá acessar rapidamente todo o histórico do usuário armazenado pela função. O único obstáculo para esta visualização em alta resolução de toda a vida de uma vítima na frente de um teclado parece ser que o acesso aos dados do Recall requer privilégios de administrador no dispositivo do usuário. Isso significa que o malware sem privilégios de nível superior acionará um pop-up de permissão, permitindo que os usuários neguem o acesso, e esse malware provavelmente também será bloqueado por padrão no acesso aos dados na maioria dos dispositivos corporativos.

Então James Forshaw, pesquisador da equipe de pesquisa de vulnerabilidades do Project Zero do Google, postou na quarta-feira Atualizar para uma postagem do blog Ressaltando que ele encontrou maneiras de acessar os dados de recall sem Privilégios de administrador – essencialmente eliminando até a última folha de figueira de proteção. “Não é necessário administrador ;-)” a postagem terminou.

“Maldito” Forsho Adicionado no Mastodonte. “Eu realmente pensei que a segurança do banco de dados de convocação seria pelo menos segura.”

A postagem no blog de Forshaw descreveu duas maneiras diferentes de contornar os requisitos de privilégio de administrador, ambas explorando maneiras de contornar uma função central de segurança do Windows conhecida como listas de controle de acesso que especificam quais itens no computador requerem privilégios para leitura e modificação. Um método Forshaw explora uma exceção a esses menus de controle, personificando temporariamente um programa em máquinas Windows chamado AIXHost.exe que pode acessar até mesmo bancos de dados restritos. Há outra maneira mais simples: Forshaw aponta que, como os dados de recuperação armazenados no dispositivo são considerados propriedade do usuário, um hacker com os mesmos privilégios que o usuário poderia simplesmente reescrever as listas de controle de acesso no dispositivo alvo para obter acesso. para o banco de dados completo.

Essa segunda técnica de desvio, mais simples, é “bastante incrível, francamente”, diz Alex Hagina, estrategista de segurança cibernética e hacker ético. Hagenah construiu recentemente uma ferramenta de hacking de prova de conceito chamada TotalRecall, projetada para mostrar que alguém que obtivesse acesso ao dispositivo de uma vítima usando o Recall poderia extrair instantaneamente todo o histórico do usuário registrado pelo recurso. No entanto, a ferramenta de Hagina ainda exige que os hackers encontrem outra maneira de obter privilégios de administrador por meio de uma técnica chamada de “escalada de privilégios” antes que sua ferramenta possa funcionar.

Com a tecnologia da Forshow, “você não precisa de nenhuma escalação de privilégios, nem pop-ups, nada”, diz Hagina. “Faria sentido implementar isso na ferramenta para um bandido.”