灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 278|回复: 0

本地攻击者可以使用组策略漏洞来接管企业Windows系统

[复制链接]
发表于 2020-6-10 13:08:56 | 显示全部楼层 |阅读模式
本地攻击者可以使用组策略漏洞来接管企业Windows系统

本地攻击者可以使用组策略漏洞来接管企业Windows系统

本地攻击者可以使用组策略漏洞来接管企业Windows系统

Microsoft发行了一个补丁程序来修复一个漏洞,该漏洞可能允许受感染的非特权用户帐户在系统上放置恶意DLL。

Microsoft今天修复了从Windows和Office到Visual Studio,Azure DevOps和Microsoft Apps for Android的整个软件产品中的129个漏洞。这些缺陷中有11个是至关重要的,应立即进行修补,但是一个特定的漏洞很容易被忽略,并且可以允许具有本地访问权限的黑客完全控制企业Windows系统。

跟踪为CVE-2020-1317的问题影响集中管理Active Directory环境中Windows计算机和用户设置的最基本机制之一:组策略。更重要的是,该漏洞已经很久了,并且从Windows Server 2008开始在所有用于台式机和服务器的Windows版本中都存在。

“当组策略不正确地检查访问权限时,将存在特权提升漏洞。成功利用此漏洞的攻击者可以在提升的上下文中运行进程。要利用此漏洞,攻击者首先必须登录到系统,然后运行专门设计的应用程序来控制受影响的系统。”
除此以外,该公司的咨询没有其他信息,但是据发现该漏洞的Cyber​​Ark研究人员称,这是非常严重的。

攻击者如何利用组策略漏洞
组策略设置作为组策略对象(GPO)存储在Windows系统上,并且域管理员可以通过网络从域控制器分发它们。但是,默认情况下,组策略更新不是即时的,通常需要一段时间才能在网络上传播,这就是Windows包含一个名为GPUpdate.exe的工具的原因,用户可以运行该工具来向域控制器请求GPO更新,而不必等待它们。

安全性Cyber​​Ark安全研究人员在博客文章中说:“有趣的是,本地非特权用户可以手动请求组策略更新。” “因此,如果您设法在组策略更新过程中发现错误,则可以随时触发它,从而使潜在的攻击变得更加容易。”

组策略更新通过名为GPSVC的服务处理,该服务在svchost.exe进程下运行,该进程处理Windows中的许多服务。如预期的那样,此服务在NT AUTHORITY \ SYSTEM的上下文中以最高的特权运行。

可以将组策略更新链接到计算机,站点,域或组织单位,该服务会将它们保存为名为Applied-Object.xml的文件,然后将其重命名为策略适用的对象类型。例如,有关打印机的策略将转换为Printers \ Printers.xml。研究人员发现,链接到组织单位的GPO更新(针对该域中的所有用户和计算机)被保存在计算机上的%localappdata%目录下的某个位置中,任何本地用户都可以访问该目录。

此外,在执行此操作时,服务不会将其上下文和特权切换到请求更新的本地用户(在Windows API语言中称为用户模拟),而是使用LocalSystem特权执行文件写入操作。因此,此机制提供了这样一种情况:非特权用户可以使用GPUpdate.exe触发具有LocalSystem特权的文件写入操作到他们有权访问的目录中。

利用链的最后一步是让用户创建一个符号链接,该符号链接将要写入的目标文件位置(例如Printers.xml)链接到位于受保护的Windows目录(例如C:\)中的系统文件。 Windows \ System32 \,其中驻留了操作系统内核执行的许多文件。这意味着,当GPSVC尝试在用户可访问的位置写入Printers.xml文件时,实际上将被定向为在C:\ Windows \ System32 \中写入文件,因为它具有系统特权,因此可以这样做。

Cyber​​Ark研究人员将这些步骤描述如下:

列出您在C:\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的组策略GUID。
如果您有多个GUID,请检查最近更新的目录。
进入该目录并进入子目录,即用户SID。
查看最新的修改目录。这将因您的环境而异。就我而言,它是打印机目录。
删除打印机目录内的文件Printers.xml。
创建指向\ RPC Control的NTFS挂载点+与Printers.xml的对象管理器符号链接,该链接指向C:\ Windows \ System32 \ whatever.dll。
打开您喜欢的终端并运行gpupdate。
非特权用户在受保护的OS目录中写入文件的能力之所以危险是因为它可以用于所谓的DLL劫持
评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号 )

GMT+8, 2020-7-4 16:47 , Processed in 0.086653 second(s), 26 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表