CVE-2019-0841：Windows权限提升漏洞PoC

漏洞概述

研究人员Ahmed发现用于启动Windows APP的Windows AppX Deployment Service (AppXSVC)在处理硬链接不当时存在权限提升漏洞，该漏洞CVE编号为CVE-2019-0841。AppX Deployment Service 服务主要用于安装、部署和更新 Windows Store 应用商店中的程序，是部署应用商店应用程序的基础结构，该名称主要由 Windows 通用应用程序平台(UWP)的程序分发包为 .AppX 而得名。研究人员在发布了微软发布月度安全补丁后公布了利用该漏洞的POC代码。

系统中低权限的攻击者可以利用该漏洞来在Windows 10、Windows Server 2019等Windows系统中运行更高权限的进程。攻击者利用该漏洞可以安装程序、修改受影响的系统中的数据等。

通过分析Windows如何处理 Windows app包的settings.dat配置文件，研究人员可以诱使操作系统为低权限的用户授予几乎所有文件的完全控制权限。   

研究人员解释说写入Windows App config配置文件的可能是账号的所有者NT AUTHORITY\SYSTEM，因此权限远远管理员。

在Windows APP启动前，要运行一些基本的完整性检查，包括验证文件权限和读取文件内容。如果破坏的话，该文件就会被删除，配置文件会根据模板文件重新设置。

POC

研究人员的漏洞利用利用了硬链接上的权限与它所引用（链接）的文件相同。为了证明，研究人员使用Microsoft Edge的配置文件在普通用户环境下来获取hosts文件的完全控制权限，而hosts文件应该只有管理员和SYSTEM这样的高权限用户才能修改。

1. 漏洞利用首先检查目标文件是否存在，如果存在就检查其权限。研究人员使用Microsoft Edge来进行漏洞利用，它会杀掉Microsoft Edge的进程来获取settings.dat文件的访问权限。
2. Microsoft Edge被杀后，会检查setting.dat文件并删除该文件以创建到请求的目标文件的硬链接。

3. 硬链接创建后再次启动Microsoft Edge以触发漏洞。然后检查确认是否为当前用户设置完全控制权限。

研究人员同时指出一些漏洞利用所必须的条件：

· NT AUTHORITY\SYSTEM应该有对目标文件的完全控制权限；

· 低权限的用户或用户组应该有读写权限；

· 读和执行权限应该可以继承。

微软回应称该漏洞被利用的可能性较小。

研究人员已经公布了POC代码，代码可以融入一些edge浏览器的攻击场景中。研究人员还在youtube上发布了一个利用Google Chrome Update服务来进行提权的视频：www.youtube.com/embed/vP468ZjJ3hU

Poc代码：https://github.com/rogue-kdc/CVE-2019-0841