Windows上的Java Usage Tracker本地提权漏洞详情披露(CVE-2018-3211)

鲁班七号 漏洞 2018年10月22日发布
Favorite收藏

导语:我们发现,Java Usage Tracker中的设计缺陷/弱点可以让黑客创建任意文件,注入攻击者指定的参数并提升本地特权。

我们发现,Java Usage Tracker中的设计缺陷/弱点可以让黑客创建任意文件,注入攻击者指定的参数并提升本地特权。反过来,这些可以链接起来并用于升级权限,以便访问受影响系统中的资源,这些资源通常受到保护或限制给其他应用程序或用户。
我们通过Zero Day Initiative与Oracle合作修补了这个漏洞,这已经通过Oracle 10月的补丁更新得到了解决。因此,必须敦促用户和企业修补和更新他们的Java版本。
在这篇文章中,我们将深入研究这个缺陷如何在Windows上运行,Java Usage Tracke又是如何工作的,以及如何定义启用漏洞的条件。
Java Usage Tracker
Java有一个名为Java Usage Tracker的功能,可以跟踪它在系统中的使用方式。Java Usage Tracker具有以下功能:
· 有关Java虚拟机(JVM)的日志信息启动配置参数。
· 将数据转储到日志文件中或将其重定向到UDP服务器。
· 允许在Usage Tracker配置中指定自定义属性的日志值。
Java Usage Tracker使用名为usagetracker.properties的配置文件,该文件具有全局默认位置,具体取决于操作系统(OS)。例如,Windows的默认路径是:%ProgramData%\Oracle\Java\。全局默认路径中的usagetracker文件将跟踪系统中启动的所有JVM的使用情况。
下图显示了usagetracker.properties的示例:

CVE-2018-3211-1.png

图1:显示usagetracker.properties示例的快照

如图1中的第9行所示,Java Usage Tracker会将信息记录到文件global_javatracker.log中。以安装Apache Tomcat(基于Java的开源工具)为例,建立一个系统。重新启动服务后,会创建文件global_javatracker.log并附加Java使用情况跟踪数据。每次Tomcat服务启动时,新的跟踪信息都会附加到文件的末尾。
下图显示了跟踪数据的示例。请注意如何使用逗号分隔,如属性文件(分隔符配置)中所述。

CVE-2018-3211-2.png

图2:快照显示如何将跟踪数据附加到Tomcat中的global_javatracker.log

用户控制的参数
文件 usagetracker.properties有两个有趣的属性来控制Java Usage Tracker的行为:
· oracle.usagetracker.logToFile
· oracle.usagetracker.additionalProperties
该logTofile属性允许用户选择系统中的任意日志文件的路径。务必引起注意的是,日志文件是由受监视的JVM创建的。如果JVM运行具有高级权限,那么JVM就能够在系统的任何部分创建该文件,文件的扩展名也不受控制(也就是说,可以创建名为global_javatracker.bat的日志文件)。
即使logToFile路径可以任意设置,也无法控制文件内容,因为JVM只会从现有的非受控数据中写入值。但是,Java Usage Tracker具有从自定义属性获取值的特殊功能。additionalProperties支持包含要跟踪的任意和其他自定义属性。下图显示了一个示例:

CVE-2018-3211-3.png

图3:快照显示如何通过additionalProperties添加自定义属性

CVE-2018-3211-4.png

图4:显示重新启动Tomcat服务后如何跟踪数据的代码段

如图4所示,该行的末尾附加了一个带有null值的已配置跟踪属性com.anotherInterestingProperty = null。属性值为null,表示该属性不存在。
有两种方法可以控制Java Usage Tracker的行为:设置任意日志路径,以及设置任意自定义属性。这种组合似乎是不可利用的,但当它与其他安全漏洞或弱点结合使用时,它可以被利用。
利用自定义属性
以下是一个示例,说明如何利用自定义属性。如图5所示,第9行中的前配置文件将强制Java Usage Tracker创建.bat文件,然后添加自定义属性: ping 172.0.1.1>。相应的生成文件是global_javatracker.bat,如图5所示。

CVE-2018-3211-5.png

图5:显示global_javatracker.bat中自定义属性的快照

CVE-2018-3211-6.png

图6:显示正在执行的global_javatracker.bat的屏幕截图

请注意附加属性ping 172.0.1.1> = null。如果执行批处理文件global_javatracker.bat,它将显示错误消息:“ VM start”无法识别。发生此错误的原因是Java Usage Tracker的属性文件仅生成一行,由配置(逗号分隔符)com.oracle.usagetracker.separator =,设置。
将分隔符更改为“新行”会生成不同的跟踪日志(图8)。

CVE-2018-3211-7.png

图7:带有“新行”分隔符的Java Usage Tracker(突出显示)

CVE-2018-3211-8.png

图8:使用新行分隔符后生成的跟踪日志

图8显示了新行中的所有值,最后一行包含ping 172.0.1.1> = null。运行global_javatracker.bat将导致执行ping 172.0.1.1> = null,但由于双引号,该命令无法识别。但是,也是有机会执行它的,因为围绕每个属性值的双引号可以由另一个配置控制:com.oracle.usagetracker.quote =“。
例如,让我们创建一个空的com.oracle.usagetracker.quote配置,如图9所示。

CVE-2018-3211-9.png

图9:显示具有空配置的com.oracle.usagetracker.quote的快照

CVE-2018-3211-10.png

图10:使用空配置从com.oracle.usagetracker.quote生成的跟踪日志

运行global_javatracker.bat将执行命令ping 172.0.1.1> = null。如图10中命令提示符(cmd)图像的末尾所示,创建了一个“null”文件。
到这个阶段,Java Usage Tracker可以实现:
· 可以随意在文件系统中的任意位置创建文件。
· 可以随意创建文本脚本文件。该示例使用批处理文件,但它也可用于创建其他文件类型。
· 可以用来注入任意命令(或与脚本文件相关的任何其他文本)。
上述组合以及脚本文件可以在系统中的任何地方执行/创建,但是,要成功的利用它,则有以下条件:
· 应在关键位置创建恶意文件(即自动启动脚本)。
· 要访问关键位置,具有高权限的进程应创建恶意文件。
这两个条件实际上都可以实现。例如,可以为非特权用户创建Java Usage Tracker的配置(usagetracker.properties),并且为具有更高特权的进程创建恶意日志文件(usage tracker日志)。
Java Usage Tracker日志文件创建
当驻留在全局配置路径中(即Windows中的%ProgramData%\Oracle\Java)时,将在系统中启动JVM时读取Java Usage Tracker日志文件。我们再以默认的Tomcat安装为例,安装Tomcat并使用全局usagetracker.properties后,将在重新启动Tomcat后创建跟踪器日志(图11)。
如图12所示,该文件由Tomcat服务创建,默认情况下作为System运行。由于Tomcat服务作为System运行,因此可以在任意位置创建恶意文件global_javatracker.bat。但是,配置文件usagetracker.properties必须由非特权用户创建。

CVE-2018-3211-11.png

图11:安装Tomcat后创建的跟踪器日志

CVE-2018-3211-12.png

图12:显示Tomcat创建的日志文件的快照(突出显示)

本地权限升级
Java Usage Tracker的全局配置文件是在默认路径%ProgramData%\Oracle\Java\中创建的。此位置和初始内容是在Java安装期间创建的,但也是在执行Java命令时创建的——比如说java -c。
默认权限%ProgramData%允许系统的“用户”创建文件。创建Oracle/Java路径时,将继承默认权限。
图13显示了%ProgramData%\Oracle\Java\的权限,这可能是自从创建Java使用跟踪程序以来,影响Java版本最多的。

CVE-2018-3211-13.png

图13:显示为%ProgramData%\Oracle\Java\授予的权限的屏幕截图

举个例子,具有低权限的用户可以创建恶意配置文件usagetracker.properties,Tomcat服务器可以在系统的任何位置创建批处理文件,因为它以“系统”权限运行。批处理文件可以包括写入启动脚本的位置等例程。
结论
综上所述,可以通过多种方式使用Java Usage Tracker功能来升级权限。我们的研究仅在Microsoft Windows环境中进行了测试,但在其他系统上也有可能会很容易受到攻击。
导致权限升级的攻击可能会使用一系列弱设计漏洞,这些缺陷可被视为不同的漏洞:
· 任意文件类型创建:这可以通过 oracle.usagetracker.logToFile路径完成。例如,可以像批处理文件一样创建可编写脚本的文件。
· 参数注入:这可以通过 oracle.usagetracker.additionalProperties配置来执行。

· 本地特权提升:这可以通过%ProgramData%/Oracle/Java中的弱权限来完成。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/cve-2018-3211-java-usage-tracker-local-elevation-of-privilege-on-windows/如若转载,请注明原文地址: http://www.4hou.com/vulnerable/14124.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论