作者:Vuong Doan Minh,软件工程师,OPSWATVuong Doan Minh,OPSWAT 软件 工程师
导言
权限升级是一种漏洞利用类型,可为恶意行为者提供对应用程序或操作系统中受保护资源的更高访问权限。
漏洞描述
CVE-2019-1405 可用于将任何本地用户的权限提升至本地服务用户。
CVE-2019-1322 可用于将本地服务用户的权限提升至本地系统用户。
因此,将这两个 CVE 合二为一,就能将任何本地用户的权限提升为系统用户。
这些漏洞会影响运行 Microsoft Windows 10 1803 及以上版本、尚未更新至最新补丁或 2019 年 11 月 12 日安全更新补丁的计算机[1][2]。
潜在影响
这对组织来说非常危险,因为有很多方法可以访问组织内的任何机器。例如,在使用域控制器的组织中,任何用户只要有物理访问权限,就可以登录域中的任何机器。他只能访问机器上仅限于其用户账户的数据。但是,通过使用这些漏洞,他可以创建升高的进程,从而:
- 在管理组中添加新用户账户,以访问机密资源。
- 在受害者机器上安装后门和恶意程序,以便日后利用。
- 查看、更改或删除任何数据。
OPSWAT 如何帮助您检测漏洞
MetaDefender Access可以检测到存在漏洞的设备,并提供修复说明。
安装 MetaDefender Endpoint后,它会检测端点上的漏洞并报告给MetaDefender Access。MetaDefender Access 会分析数据,如果发现任何漏洞,会通知终端用户,并提供修复检测到的漏洞的有用说明。管理员还可以通过MetaDefender Access 网络控制台管理所有易受攻击的设备。
MetaDefender Core采用file-based vulnerability assessment 技术,可检测端点上二进制文件中的漏洞。MetaDefender Core 提供的 API 可用于与其他服务集成,以扫描文件。例如:扫描进出企业网络的文件。
- 如果易受攻击的文件属于系统文件,那么这就表明你应该更新系统。
- 如果易受攻击的文件是软件程序文件,则应更新软件或考虑暂时卸载软件。
- 如果安装程序存在漏洞,则不应将其安装到组织内的任何机器上。
- 如果项目中的库文件存在漏洞,则应查找该库的最新补丁版本,如果没有漏洞补丁,则应停止使用该库。
如何利用?
该漏洞的利用代码可在https://www.exploit-db.com/exploits/47684 上找到,它是 Rapid7 的 Metasploit 框架的一个模块[3]。
漏洞演示
- 攻击机器Kali Linux
- 受害者机器Windows 10 1803 x64
- 演示假定攻击者已经访问了受害者的机器。
补救措施
强烈建议您始终保持 Windows 的最新版本,尤其是与安全相关的更新 (KB);或至少在 2019 年 11 月之前应用安全补丁。
参考资料
[1] "CVE-2019-1405 | Windows UPnP 服务权限提升漏洞"。Available:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] "CVE-2019-1322 | Microsoft Windows 权限提升漏洞"。网址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Metasploit of Rapid7".网址:https://www.metasploit.com/
