用户
搜索
  • TA的每日心情
    难过
    6 天前
  • 签到天数: 18 天

    连续签到: 2 天

    [LV.4]经常看看II

    i春秋-核心白帽

    Rank: 4

    187

    主题

    276

    帖子

    1955

    魔法币
    收听
    0
    粉丝
    3
    注册时间
    2018-4-25
    发表于 2019-11-22 16:24:50 2828
    本帖最后由 Skey11 于 2019-11-22 08:32 编辑

    2019年11月19日
    订阅
    这是一个真正美味的漏洞,这要归功于ZDI的贡献者Eduardo Braun Prado。您的客人不会相信升级到系统是多么容易!

    这个错误是在UAC(用户帐户控制)机制中发现的。默认情况下,Windows在一个单独的桌面(称为安全桌面)上显示所有UAC提示。提示本身由一个名为consent的可执行文件生成。exe,作为NT AUTHORITY\系统运行,具有系统的完整性级别。由于用户可以与此UI交互,因此必须严格限制UI。否则,低权限用户可以通过UI操作的迂回路径作为系统执行操作。即使一个单独的UI特性在隔离时看起来是无害的,但它也可能是导致任意控制的操作链中的第一步。实际上,您会发现UAC对话框被简化为包含最少的可单击选项。

    我们去探险一下好吗?

    我们可以通过右键单击任何可执行文件并选择Run as administrator来输入UAC提示…这将打开一个对话框在安全桌面上,看起来像这样:
    Picture1.png
    到目前为止还没有什么有趣的,只有Yes和No按钮、一个密码输入字段和一个X按钮。您可以单击窗口的左上角,获得很少使用的标准“窗口菜单”,只需移动和关闭命令。密码输入字段比较有趣。也许它可以为您提供一些方法来打开额外的UI特性,例如,通过IME。不过我试过了,没有发现任何东西。

    好吧,那“显示细节”选项呢?
    Picture2.png
    啊哈。这是一个更有趣的UI的入口。我们现在有一个链接到Windows证书对话框:
    Picture3.png
    这是一种很有前途的方法,因为您可能知道,Windows证书对话框允许您将显示的证书导出到文件中。这将使我们能够访问标准的文件保存对话框,从而打开大量的UI功能。会工作吗?
    Picture4.png
    见鬼,微软把按钮变灰了!想想看,我们差点就成功了。我似乎记得一年前就试过了。

    但是关于证书对话框,您可能不知道的是:定义了一个模糊的特定于microsoft的对象标识符(OID),其数值为1.3.6.1.4.1.311.2.1.10。h头文件将其定义为SPC_SP_AGENCY_INFO_OBJID,如果存在,它将在Details选项卡中显示为SpcSpAgencyInfo。这个OID的语义没有得到很好的文档说明。然而,证书对话框似乎解析这个OID的值,如果它找到有效的和格式正确的数据,它将使用它来呈现General选项卡上的“published by”字段作为超链接!当涉及到证书对话框的UAC版本时,微软忘记了禁用这个超链接。

    这个bug的发现者向我们提供了一个古老的微软签署的可执行文件的副本,它有这样一个证书:
    Picture5.png
    点击这个超链接将会启动一个浏览器。,浏览器将作为NT AUTHORITY\SYSTEM运行。奇怪的是,尽管浏览器是作为系统启动的,但是它显示在普通的桌面而不是安全的桌面。因此,它只有在用户退出所有UAC对话框时才可见。从攻击者的角度来看,这是一个理想的组合。

    在行动中,这种脆弱性是一个奇迹。至少在我看来,这是一个即时的经典。下面的视频展示了整个过程,包括最后一步生成命令提示符作为系统。请欣赏演出。

    微软于2019年11月将该漏洞修补为CVE-2019-1388。在他们的书面声明中,他们指出修复是通过“确保Windows证书对话框正确地强制用户权限”实现的。然而,他们也给出了2的剥削指数,表明剥削的可能性更小。我们的视频给出了相反的建议。

    在这里,在“零日倡议”,我们感谢我们的天才提交人在过去的一年里给我们送来的所有伟大的错误,我们祝愿每个人都有一个繁荣的2020年。



    user.png
    user-.png
    user-a.png
    user-b.png
    user-c.png
    楼主好厉害,大佬
    使用道具 举报 回复
    发表于 2019-11-28 14:14:56

    互联网漏洞知识、不断发布新知识、互相了解互联网漏洞技术、共同进展互联行业
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册