运行 Windows 10 IoT Core 的嵌入式和物联网有线连接设备可受远程执行命令攻击。攻击者可在 GitHub 开源 RAT 工具的帮助下以无需验证的系统权限实施攻击。
Windows 10 IoT Core 驱动的设备运行专为小型 ARM 和x86/x64 设备进行优化了的 Windows 10 版本,与通用应用程序和驱动程序兼容,但不支持 shell 或微软应用程序。
SafeBreach 公司的研究员 Dor Azouri 表示,开发的 SireRAT 工具旨在利用内置到运行带有官方微软镜像的 Windows IoT Core 的任何有线连接设备中的 Sirep 测试服务。
他指出,“有必要注意到的一点是,这个操作系统存在两个版本:一个是 IoT Core,旨在更简单的 IoT 解决方案;另外一个是 IoT 企业版,服务于更复杂的场景。第一个版本是免费的且支持 ARM,第二个版本是付费的且仅支持 x86_64 芯片。我只在 IoT Core 上测试了这种攻击,用的是微软默认提供的镜像。微软在文档中提到,制造商/原始设备制造商如想要商业化其差评,必须构建自己的自定义镜像,遗漏了所有的测试包。”
好消息是,发布在 GitHub 上的这款SirepRAT Windows 10 IoT Core 利用工具仅适用于以太网连接,因为它暴露的不太为人所知的接口“由 HLK用于驱动/HW 测试”无线连接。
Azouri 还指出,“这项研究是在 Raspberry Pi 3 上安装的 Windows IoT Core 上执行的,但可能不仅限于此,因为它滥用了 Windows 服务和协议,而后者应当是独立于平台的。”
Azouri 在报告中指出,“Windows 在 IoT 解决方案开发中占据第二大比例(22.9%),仅次于 Linux 的 71.8%。Windows 使用的最主要的 IoT 分支之一是 IoT 网关。开发中的大量 IoT 解决方案构建于 ARM 基础架构的基础之上。安全是开发 IoT 解决方案的首要考虑因素。”
Azouri 指出,“该服务是 HLK 设置的客户端部分,用于在 IoT 设备上进行驱动/硬件测试。它适用于 Sirep/WPCon/TShell 协议。我们分解了 Sirep/WPCon 协议并演示了该协议如何为攻击者暴露远程命令接口,包括 RAT 能力,如在任意位置获取/放置任意文件并获取系统信息。”
他还指出,“微软公开在官方存储镜像中默认启用并运行该测试接口。除非通过构建一种自定义镜像删除该功能(该进程要求从证书机构购买证书,因此多数用户办不到),那么任何人只要拥有针对该设备的 TCP 连接,就能够在 Sirep 服务的端口发动攻击。”
熟悉 Windows 10 IoT Core OS 的消息人士指出,这些测试镜像将会在启动时显示如下警告:“这是仅用于原型设计的 Windows 10 IoT Core 测试镜像。如果您希望商业化,必须使用自定义的 FFU 以获得最佳安全性。”
可遭利用的设备出现在多种环境中,如商业化手持产品和企业环境中的 DIY 项目等。
研究报告中指出,该攻击可由具有系统权限的用户或当前登录账户(通常是 “DefaultAccount”)执行攻击,而无需任何验证。
从 GitHub 上发布的 SirepRAT 源代码来看,这款 RAT 工具能够在易受攻陷的设备上启用命令,而不会有任何输出、上传和下载文件以及提取文件和系统信息等动作。
鉴于这款工具导致攻击者能够轻松绕过验证并在任意位置自由地上传/下载文件,因此使用这款工具更可能导致攻击者接管易受攻击的设备,从而导致针对 Windows IoT Core 设备的大规模攻击。
目前微软方面尚未置评,更多详情可访问该工具的 GitHub页面(https://github.com/SafeBreach-Labs/SirepRAT#usage)。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/124423.html