Win 10计划任务本地权限提升0 day POC

ang010ela 新闻 2019年5月23日发布
Favorite收藏

导语:​安全研究人员SandboxEscaper回归,带来一个新的Windows LPE 0day漏洞PoC。

TaskScheduler.jpg

该漏洞利用是自去年8月起安全研究人员SandboxEscaper发现的第5个Windows 漏洞利用。SandboxEscaper利用该漏洞利用可以进行本地权限提升,获取SYSTEM和TrustedInstaller等特权用户对温泉的完全控制权限。

定时任务文件

这次,SandboxEscaper关注的还是计划任务工具(Task Scheduler),并用它来从其他系统中导入遗留任务。在Windows XP系统中,计划任务是.job格式的,并且可以添加到新版的操作系统中。

问题是计划任务工具导入的JOB文件是任意DACL(discretionary access control list,强制访问控制列表)控制权限的。因为缺乏DACL,系统会授予任意用户完全访问权限。

研究人员解释说该bug可以通过导入遗留任务文件到Windows 10中的计划任务中来进行利用。运行使用复制自老版本系统中的可执行文件schtasks.exe和schedsvc.dll命令会导致到_SchRpcRegisterTask的远程过程调用RPC,_SchRpcRegisterTask是在服务器上注册任务的方法。

研究人员猜测可以在不使用复制自老版本系统中的可执行文件schtasks.exe来调用该函数来触发该漏洞,但他不擅长逆向……

POC

研究人员在Windows x86上证明了该漏洞,POC视频如下:

https://github.com/SandboxEscaper/polarbearrepo/blob/master/bearlpe/demo.mp4

CERT/CC的漏洞分析师Will Dormann解释说,该PoC利用的其实是Windows 10计划任务中的一个漏洞,会在遗留的导入任务中设置SetSecurityInfo()。漏洞利用会调用代码,删除文件,然后用指向该文件的NTFS硬链接来再次调用,这样就可以用SetSecurityInfo()获取权限。

Dormann在打补丁的Windows 10 X86系统上进行了测试,成功率为100%。只需要重新编译代码就可以在64位的Windows 10系统和Windows 2016 and 2019上复现。Dormann称不能在Windows 7和Windows 8版本的操作系统上复现该PoC。

一大波0 day在路上

SandboxEscaper在博客中说他还有4个未公开的0 day漏洞,其中3个是本地权限提升漏洞,一个是沙箱逃逸漏洞。SandboxEscaper应该是想出售这3个本地权限提升漏洞给非西方人士,每个售价至少为60000。但不清楚交易的货币单位是美元还是欧元。

2018年SandboxEscaper先后发布过4个0 day漏洞,分别是:

· 2018年8月的Windows定时任务漏洞https://www.4hou.com/info/news/13323.html

· 2018年10月的Windows 0 day漏洞https://www.4hou.com/vulnerable/14196.html

· 2018年12月的Windows任意文件读0 day POC

· https://www.4hou.com/vulnerable/15369.html

· 2019年1月的Windows 0 day任意数据覆写文件漏洞

· https://www.4hou.com/vulnerable/15495.html

本文翻译自:https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/如若转载,请注明原文地址: https://www.4hou.com/info/news/18167.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论