2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
谷歌Project Zero的Tavis Ormandy發(fā)布了一個(gè)名為的漏洞利用工具包c(diǎn)tftool,該工具包使用和濫用微軟的文本服務(wù)框架 ,可以有效地獲取任何人root,system即在任何未修補(bǔ)的Windows 10系統(tǒng)上,他們能夠登錄到。這個(gè)漏洞的補(bǔ)丁- 與其他幾個(gè)嚴(yán)重的問題一起 - 在本周的補(bǔ)丁星期二更新中消失了 。
我們獨(dú)立地驗(yàn)證了Ormandy的概念驗(yàn)證,它正是它在錫上所說的:遵循指示,nt authority\system幾秒鐘后你就會(huì)得到一個(gè)特權(quán)命令提示符。我們還獨(dú)立驗(yàn)證應(yīng)用KB4512508已關(guān)閉此漏洞。應(yīng)用8月安全更新后,漏洞利用不再有效。
該全書面記錄奧曼迪的調(diào)查結(jié)果是迷人的,令人難以置信的技術(shù)細(xì)節(jié)。TL; DR版本是微軟的文本服務(wù)框架,用于提供多語言支持,并且自Windows XP以來一直存在,包括一個(gè)名為的庫MSCTF.DLL。(沒有明確的文檔證明了Microsoft希望CTF代表什么,但隨著這個(gè)工具的發(fā)布,它可能代表Capture The Flag。)
文本服務(wù)框架需要監(jiān)視和更改用戶對(duì)應(yīng)用程序窗口的輸入,以便提供簡(jiǎn)體中文(拼音)等語言服務(wù)。如果您為拼音安裝語言支持,您可以看到這一點(diǎn)。將語言設(shè)置為拼音,您可以輸入任何窗口,并且可以在子菜單中顯示與您的拼音輸入(或您用英語輸入的整個(gè)單詞)匹配的漢字建議。
可以使用鍵盤快捷鍵快速選擇此子菜單中的字符,然后使用鍵盤快捷鍵替換您鍵入的內(nèi)容。
Ormandy并沒有開始在文本服務(wù)框架中尋找問題 - 所有他真正想要的是確認(rèn)他無法將來自非特權(quán)進(jìn)程的進(jìn)程間消息發(fā)送到特權(quán)進(jìn)程。但當(dāng)他編寫一個(gè)測(cè)試用例將所有可能的消息發(fā)送到以管理員身份運(yùn)行的Notepad.exe實(shí)例時(shí),他發(fā)現(xiàn)事實(shí)并非如此:他的一些進(jìn)程間消息意外地通過了。
一旦Ormandy確定了罪魁禍?zhǔn)?MSCTF.DLL,下一步就是弄清楚可以用它做些什么。正如他所發(fā)現(xiàn)的,答案是“幾乎你想要的任何東西。” CTF協(xié)議是一個(gè)可追溯到2001年的Office XP的遺留系統(tǒng),甚至包括對(duì)Windows 98的支持; 從Windows XP本身開始,基本系統(tǒng)就可以使用它。協(xié)議中沒有實(shí)現(xiàn)任何訪問??控制 - 即使沙箱進(jìn)程也可以連接到沙箱外的CTF會(huì)話。客戶端報(bào)告他們的線程ID,進(jìn)程ID和窗口句柄 - 但沒有任何驗(yàn)證,也沒有任何東西阻止這樣的客戶端通過它的牙齒來獲得它想要的東西。
更糟糕的是,CTF協(xié)議允許客戶端調(diào)用它引用的程序中的任何函數(shù)指針......并且CTF協(xié)議 捕獲異常。因此,客戶端可以有效地繼續(xù)攻擊它不了解的目標(biāo),而不會(huì)導(dǎo)致崩潰。您可能認(rèn)為地址空間布局隨機(jī)化 - 一種現(xiàn)代安全技術(shù),可以預(yù)測(cè)應(yīng)用程序的易受攻擊部分在內(nèi)存中的位置更具挑戰(zhàn)性 - 會(huì)使事情變得更加困難。不幸的是,你錯(cuò)了,因?yàn)槭聦?shí)證明,CTF編組協(xié)議告訴你監(jiān)視器堆棧的位置。
這會(huì)讓你進(jìn)入監(jiān)視器但是還沒有讓你進(jìn)入你想要擁有的客戶端應(yīng)用程序。該過程確實(shí)需要反復(fù)試驗(yàn)和錯(cuò)誤,但該試驗(yàn)和錯(cuò)誤可以在腳本中自動(dòng)執(zhí)行。這正是Ormandy的概念驗(yàn)證腳本所做的。ctf-consent-system.ctf在該工具中運(yùn)行時(shí),它會(huì)使用runAs帶有ShellExecute()命令的動(dòng)詞生成UAC對(duì)話框。一旦存在UAC對(duì)話框,ctftool使用CTF框架連接到它,探測(cè)它并映射其堆棧,這需要幾秒鐘。完成后,它會(huì)調(diào)用內(nèi)部函數(shù)consent.exe。這表明本地用戶已成功輸入所請(qǐng)求的憑證 - 而Bob是您的叔叔; 你有一個(gè)cmd.exe運(yùn)行 實(shí)例nt authority\system。
這個(gè)漏洞在Windows堆棧中潛伏了20年未被承認(rèn),其后果甚至比概念驗(yàn)證漏洞更加深遠(yuǎn) - 甚至可以在未打補(bǔ)丁的系統(tǒng)上使用CTF來繞過 最新的,應(yīng)該是最安全設(shè)計(jì)的應(yīng)用程序中使用的AppContainer隔離,例如Microsoft Edge。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。