El protocolo CTF de Microsoft puede hacer que sus aplicaciones de Windows sean secuestradas [Partition Magic]

Resumen :

CTF

Este artículo informa sobre una vulnerabilidad relacionada con el protocolo CTF, un protocolo de Microsoft utilizado por todas las versiones del sistema operativo Windows desde Windows XP. Mira esta publicación de miniherramienta para ver cómo la vulnerabilidad afecta la seguridad de su computadora.





Navegacion rapida :

CTF es un protocolo de Windows no documentado relacionado con Microsoft Marco de servicios de texto . A pesar de ser utilizado por todas las versiones del sistema operativo Windows desde Windows XP, es inseguro y puede ser explotado fácilmente.

Recientemente, un conocido investigador de seguridad, Tavis Ormandy, encontró una vulnerabilidad en el protocolo CTF de Microsoft, lo que permite a los piratas informáticos secuestrar cualquier aplicación de Windows e incluso obtener derechos de administrador.

Según Tavis Ormandy, el investigador de seguridad del equipo de seguridad de élite Project Zero de Google, y la persona que encontró el protocolo con errores, los piratas informáticos o el malware que ya tienen un punto de apoyo en la computadora del usuario pueden usar el protocolo para hacerse cargo de cualquier aplicación, con muchos privilegios. aplicación, o incluso todo el sistema operativo.



es necesaria la miniatura del antivirus ¿Es necesario un antivirus para Windows 10/8/7? Obtenga la respuesta ahora!

¿Es necesario un antivirus para Windows 10/8/7 para mantener su PC segura? Lea esta publicación para obtener la respuesta, y también puede conocer algunas formas de prevenir el malware.

Lee mas

¿Qué es CTF?

Se desconoce qué significa realmente CTF. Incluso para investigadores de seguridad conocidos como Ormandy, no pueden encontrar su significado en toda la documentación de Microsoft.

Todo lo que pudieron averiguar es que el CTF es parte de Windows Text Services Framework (TSF), un marco COM y API en Windows XP y sistemas operativos posteriores de Windows que admiten la entrada y el procesamiento de texto avanzados, es decir, el sistema que administra el texto que se muestra dentro de Windows y las aplicaciones de Windows.



Cuando los usuarios inician una aplicación, Windows también inicia un cliente CTF para esa aplicación. Luego, el cliente de CTF recibió instrucciones de un servidor de CTF en términos del idioma del sistema operativo y los métodos de entrada del teclado.

Si el método de entrada del sistema operativo cambia de un idioma a otro, los servidores de CTF notificarán a todos los clientes de CTF, por lo que el idioma de cada aplicación de Windows se cambiará en consecuencia. Y es un cambio en tiempo real.

El impacto de la vulnerabilidad en el protocolo CTF

Según el notable investigador de seguridad Ormandy, descubrió que la comunicación entre los clientes de CTF y los servidores de CTF no está debidamente autenticada ni protegida.



Afirmó que cualquier aplicación, cualquier usuario, incluso los procesos aislados, pueden conectarse a cualquier sesión de CTF. Los clientes deben informar su identificación de hilo, identificación de proceso y HWND, pero no hay autenticación involucrada. Y simplemente puedes inventar una mentira.

Y de esta forma, puedes conectarte a la sesión activa de otro usuario y tomar el control de cualquier aplicación. También puede esperar a que un administrador inicie sesión y comprometa su sesión.

Si la sesión CTF de la aplicación ha sido secuestrada con éxito, el atacante puede enviar comandos a esa aplicación, comportándose como el servidor, normalmente el sistema operativo Windows.



Y las consecuencias son que el atacante puede robar datos de otras aplicaciones y también puede emitir algún comando en el nombre de esas aplicaciones.

Si la aplicación atacada tiene altos privilegios, es aún peor. El atacante puede incluso tomar el control total de la computadora de la víctima.

Ormanly también grabó una demostración para probar esto. En el video, secuestró la sesión CTF de la pantalla de inicio de sesión de Windows, demostrando que todo es pirateable en Windows debido a CTF.

La herramienta de piratería CTF está disponible en línea

Recientemente, Ormandy publicó una publicación de blog para explicar con más detalle la vulnerabilidad de CTF. Además, también lanzó una herramienta en GitHub para ayudar a otros usuarios a probar el protocolo en busca de otros problemas.

Es posible que la vulnerabilidad no permita que los piratas informáticos invadan las computadoras, pero les permite obtener privilegios de administrador en los sistemas Windows infectados de una manera muy simple, lo cual es un gran problema.

Se dice que Microsoft corrigió el error que Ormandy informó este mes. La vulnerabilidad del protocolo CTF y las correcciones se rastrean como CVE-2019-1162 . Sin embargo, debido a las vulnerabilidades profundamente arraigadas en el protocolo y su diseño, queda por ver si los parches lanzados por Microsoft son suficientes.