作者:Vuong Doan Minh,軟體工程師,OPSWATVuong Doan Minh,Software 工程師,OPSWAT
介紹
權限升級是一種攻擊類型,可讓惡意行為者對應用程式或作業系統中受保護的資源擁有較高的存取權限。
攻擊說明
CVE-2019-1405 可用於將任何本機使用者的權限提升至本機服務使用者。
CVE-2019-1322 可被用來提升本機服務使用者的權限至本機系統使用者。
因此,將這兩個 CVE 結合為一個漏洞,就可以將任何本機使用者的權限提升為系統使用者。
這些漏洞會影響執行 Microsoft Windows 10 1803 及以上版本,且尚未更新至最新修補程式或 2019 年 11 月 12 日安全更新修補程式的電腦 [1][2]。
潛在影響
對組織而言,這是非常危險的,因為有許多方法可以存取組織內的任何機器。例如,在使用網域控制器的組織中,任何使用者只要有實體存取權,就可以登入網域中的任何機器。他只能存取該機器上限於其使用者帳戶的資料。但透過使用這些漏洞,他可以建立升高的進程來:
- 新增使用者帳戶到管理群組,以存取機密資源。
- 在受害者的機器上安裝後門和惡意程式,以供日後利用。
- 檢視、變更或刪除任何資料。
OPSWAT 如何協助您偵測漏洞
MetaDefender Access可以偵測到有漏洞的裝置,並提供修復指示。
安裝 MetaDefender Endpoint後,它會偵測端點上的漏洞,並向MetaDefender Access 報告。MetaDefender Access 會分析資料,並在發現任何漏洞時通知終端用戶,同時提供有用的指示來修復偵測到的漏洞。管理員也可以透過MetaDefender Access 網頁主控台管理所有有漏洞的裝置。
MetaDefender Core的file-based vulnerability assessment 技術,可偵測端點上二進位檔案的弱點。MetaDefender Core 提供 API,可用於與其他服務整合以掃描檔案。例如:掃描進出您組織網路的檔案。
- 如果易受攻擊的檔案位於系統檔案中,則表示您應該更新系統。
- 如果易受攻擊的檔案是軟體程式的檔案,那麼您應該更新軟體或考慮暫時卸載軟體。
- 如果安裝程式存在漏洞,則不應將其安裝到組織中的任何機器上。
- 如果您專案中的函式庫檔案有漏洞,那麼您應該找到該函式庫的最新修補版本,如果沒有修補漏洞的修補程式,則應停止使用該函式庫。
如何開發?
這個漏洞的利用程式碼可以在https://www.exploit-db.com/exploits/47684 找到,是 Rapid7 的 Metasploit 框架的一個模組 [3]。
開發示範:
- 攻擊者機器:Kali Linux。
- 受害者機器:Windows 10 1803 x64
- 本演示假設攻擊者已經可以存取受害者的機器。
修復
強烈建議您經常保持 Windows 更新,尤其是安全相關的更新 (KB);或至少套用至 2019 年 11 月的安全修補程式。
引用
[1] 「CVE-2019-1405 | Windows UPnP 服務權限提升漏洞」。Available:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1405.
[2] 「CVE-2019-1322 | Microsoft Windows 權限提升漏洞」。網址: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1322.
[3] "Metasploit of Rapid7".網址: https://www.metasploit.com/
