灰鴿子遠程控制軟件

 找回密碼
 立即注冊

QQ登錄

只需一步,快速開始

查看: 383|回復: 1
打印 上一主題 下一主題

本地攻擊者可以使用組策略漏洞來接管企業Windows系統

[復制鏈接]
跳轉到指定樓層
樓主
發表于 2020-6-10 13:08:56 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式
本地攻擊者可以使用組策略漏洞來接管企業Windows系統

Microsoft發行了一個補丁程序來修復一個漏洞,該漏洞可能允許受感染的非特權用戶帳戶在系統上放置惡意DLL。

Microsoft今天修復了從Windows和Office到Visual Studio,Azure DevOps和Microsoft Apps for Android的整個軟件產品中的129個漏洞。這些缺陷中有11個是至關重要的,應立即進行修補,但是一個特定的漏洞很容易被忽略,并且可以允許具有本地訪問權限的黑客完全控制企業Windows系統。

跟蹤為CVE-2020-1317的問題影響集中管理Active Directory環境中Windows計算機和用戶設置的最基本機制之一:組策略。更重要的是,該漏洞已經很久了,并且從Windows Server 2008開始在所有用于臺式機和服務器的Windows版本中都存在。

“當組策略不正確地檢查訪問權限時,將存在特權提升漏洞。成功利用此漏洞的攻擊者可以在提升的上下文中運行進程。要利用此漏洞,攻擊者首先必須登錄到系統,然后運行專門設計的應用程序來控制受影響的系統。”
除此以外,該公司的咨詢沒有其他信息,但是據發現該漏洞的Cyber​​Ark研究人員稱,這是非常嚴重的。

攻擊者如何利用組策略漏洞
組策略設置作為組策略對象(GPO)存儲在Windows系統上,并且域管理員可以通過網絡從域控制器分發它們。但是,默認情況下,組策略更新不是即時的,通常需要一段時間才能在網絡上傳播,這就是Windows包含一個名為GPUpdate.exe的工具的原因,用戶可以運行該工具來向域控制器請求GPO更新,而不必等待它們。

安全性Cyber​​Ark安全研究人員在博客文章中說:“有趣的是,本地非特權用戶可以手動請求組策略更新。” “因此,如果您設法在組策略更新過程中發現錯誤,則可以隨時觸發它,從而使潛在的攻擊變得更加容易。”

組策略更新通過名為GPSVC的服務處理,該服務在svchost.exe進程下運行,該進程處理Windows中的許多服務。如預期的那樣,此服務在NT AUTHORITY \ SYSTEM的上下文中以最高的特權運行。

可以將組策略更新鏈接到計算機,站點,域或組織單位,該服務會將它們保存為名為Applied-Object.xml的文件,然后將其重命名為策略適用的對象類型。例如,有關打印機的策略將轉換為Printers \ Printers.xml。研究人員發現,鏈接到組織單位的GPO更新(針對該域中的所有用戶和計算機)被保存在計算機上的%localappdata%目錄下的某個位置中,任何本地用戶都可以訪問該目錄。

此外,在執行此操作時,服務不會將其上下文和特權切換到請求更新的本地用戶(在Windows API語言中稱為用戶模擬),而是使用LocalSystem特權執行文件寫入操作。因此,此機制提供了這樣一種情況:非特權用戶可以使用GPUpdate.exe觸發具有LocalSystem特權的文件寫入操作到他們有權訪問的目錄中。

利用鏈的最后一步是讓用戶創建一個符號鏈接,該符號鏈接將要寫入的目標文件位置(例如Printers.xml)鏈接到位于受保護的Windows目錄(例如C:\)中的系統文件。 Windows \ System32 \,其中駐留了操作系統內核執行的許多文件。這意味著,當GPSVC嘗試在用戶可訪問的位置寫入Printers.xml文件時,實際上將被定向為在C:\ Windows \ System32 \中寫入文件,因為它具有系統特權,因此可以這樣做。

Cyber​​Ark研究人員將這些步驟描述如下:

列出您在C:\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的組策略GUID。
如果您有多個GUID,請檢查最近更新的目錄。
進入該目錄并進入子目錄,即用戶SID。
查看最新的修改目錄。這將因您的環境而異。就我而言,它是打印機目錄。
刪除打印機目錄內的文件Printers.xml。
創建指向\ RPC Control的NTFS掛載點+與Printers.xml的對象管理器符號鏈接,該鏈接指向C:\ Windows \ System32 \ whatever.dll。
打開您喜歡的終端并運行gpupdate。
非特權用戶在受保護的OS目錄中寫入文件的能力之所以危險是因為它可以用于所謂的DLL劫持
評帖賺銀幣(1) 收起
分享到:  QQ好友和群QQ好友和群
收藏收藏
回復

使用道具 舉報

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規則

Archiver|手機版|小黑屋|灰鴿子遠程控制軟件|灰鴿子遠程控制軟件 ( 魯ICP備14000061號 )

GMT+8, 2020-7-21 23:33 , Processed in 0.108549 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
亚洲美女视频高清播放-国内偷拍视频福利视频-99久久99九九视频免费-日本三级香港三级人妇