SandboxEscaper第五次披露3个未修复的Windows 0day

栏目: 编程工具 · 发布时间: 5年前

内容简介:还记得去年曾放出4个 Windows 0day 的利用代码开发人员 SandboxEscaper 吗?这次,就在微软刚刚发布月度补丁星期二后的一周内,她在 GitHub 上又放出3个不重样的 Windows 0day PoC,而且承诺很快会放出另外两个!最先放出的这个 0day 仍然存在于用于从其它系统中导入遗留任务的 Task Scheduler 工具中。在 Windows XP 还未遭弃用的时候,任务被放在 .JOB 格式中,而且仍可被添加至 Windows 操作系统新版本中。Task Schedule

还记得去年曾放出4个 Windows 0day 的利用代码开发人员 SandboxEscaper 吗?这次,就在微软刚刚发布月度补丁星期二后的一周内,她在 GitHub 上又放出3个不重样的 Windows 0day PoC,而且承诺很快会放出另外两个!

Task Scheduler 本地权限提升 0day

最先放出的这个 0day 仍然存在于用于从其它系统中导入遗留任务的 Task Scheduler 工具中。在 Windows XP 还未遭弃用的时候,任务被放在 .JOB 格式中,而且仍可被添加至 Windows 操作系统新版本中。

Task Scheduler 导入的 JOB 文件具有人以 DACL(字典访问控制列表)控制权限。如无 DACL,系统授予用户对文件的完全访问权限。

SandboxEscaper 表示,可通过将遗留任务文件导入Windows 10 Task Scheduler 中的形式利用该 bug。运行从老旧系统复制的可执行文件的“schtasks.exe”和“schedsvc.dll”的命令可导致“_SchRpcRegisterTask”远程程序调用 (RPC) ,这个方法通过遭 Task Schedule 任务暴露的服务器注册任务。

SandboxEscaper 表示,“我认为要触发这个 bug,你仅需直接调用这个函数即可,而不必使用从 windowsxp 复制的 schtasks.exe。不过我在逆向方面也不擅长。”她还表示,当执行某个特定函数时,以有限权限开始结束于系统权限。为此她还专门发布了在 Windows x86 下的 PoC。

CERT/CC 的漏洞分析师 Will Dormann 澄清表示,SandboxEscaper 发布的这个 PoC 利用的是 Windows 10 Task Scheduler 中的一个漏洞,“设置了遗留导入任务的 SetSecurityInfo()”。他指出,“这个利用调用了一次代码,删除了文件之后以指向文件的 NTFS 硬链接再次调用,获得 SetSecurityInfo() 的权限。”

Dormann 测试了该利用代码并证实起作用,指出无需在 Windows 10 x86 系统上做出任何修改即可成功,成功率是100%。

要在 64位 Windows 系统上起作用,需要重新编译第一个代码,成功率也是百分百,和 Sever 2016以及2019的情况一样。Dormann 唯一无法成功复现的操作系统版本是 Windows 8 和7。

SandboxEscaper 在博客中表示还有四个其它未披露的 0day。其中三个是本地权限提升 (LPE) 漏洞,可导致代码执行;第四个是沙箱逃逸。她似乎想把这些 0day 出售给非西方买家,每个 LPE 0day 的售价至少是6万起,不过不清楚是6万欧元还是6万美元。

Windows 错误报告 0day

这个 0day 存在于 Windows 错误报告服务中,SandboxEscaper 表示可通过特殊放置的 DACL 操作利用它。

SandboxEscaper 将该 bug 命名为“AngryPolarBearBug2”,是因为她在去年12月份曾从该服务中发现了另外一个 0day 并将其命名为“AngryPolarBearBug”。

好在这个 0day 不如去年12月发现的第一个 AngryPolarBearBug 好利用,因为“要触发该 bug,需要最多15分钟。”一旦别利用,攻击者就能访问正常情况下无法访问的编辑文件。它虽然是一个权限提升问题,但SandboxEscaper 表示,“不算是一个问题”。

不明 IE11 0day

另外一个 0day 影响 IE11。

除了利用的源代码和简短的演示视频外,这个 0day 的内容只有一个三行概述。

SandboxEscaper 表示,这个 0day 应该可导致攻击者在 IE 浏览器中注入恶意代码。查看了该利用的一名安全研究员表示,该 0day 漏洞无法远程用,不过可以用于在后续攻击中绕过IE安全保护。

之前曾发过的 PoC

SandboxEscaper 在2018年曾发布过的 PoC 包括,高级本地程序调用 (ALPC) 中的 LPE、微软数据共享 (dssvc dll) 中的 LPE、ReadFile 中的 LPE以及 Windows 出错报告系统中的 LPE。

SandboxEscaper 在个人博客中表示,未来几天将发布另外两个0day。

原文链接

https://www.zdnet.com/article/two-more-microsoft-zero-days-uploaded-on-github/

https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Redis 深度历险:核心原理与应用实践

Redis 深度历险:核心原理与应用实践

钱文品 / 电子工业出版社 / 2019-1 / 79

Redis 是互联网技术架构在存储系统中使用得最为广泛的中间件,也是中高级后端工程师技术面试中面试官最喜欢问的工程技能之一,特别是那些优秀的互联网公司,通常要求面试者不仅仅掌握 Redis 基础用法,还要理解 Redis 内部实现的细节原理。《Redis 深度历险:核心原理与应用实践》作者老钱在使用 Redis 上积累了丰富的实战经验,希望帮助更多后端开发者更快、更深入地掌握 Redis 技能。 ......一起来看看 《Redis 深度历险:核心原理与应用实践》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

随机密码生成器
随机密码生成器

多种字符组合密码

SHA 加密
SHA 加密

SHA 加密工具