Уязвимость Защитника Windows, связанная с повышением привилегий
Ну, во-первых, почему?
Причина, по которой Microsoft прекратила свою дерьмовую программу вознаграждения за ошибки для ошибок Windows eop, поэтому мне не интересно сообщать о них поставщику
В последнее десятилетие я искал ошибки защитника Windows, но просто тратил время, я думал, что MS просто сделал идеальный av, пока я не увидел
Однако это описание от Microsoft:
Признанный парень обычно раскрывает свои ошибки, поэтому я ждал его на этот раз, чтобы посмотреть, смогу ли я обойти исправление безопасности.
а затем он опубликовал свою поэтому, когда я прочитал его статью, мне казалось, что это невозможно.
Давайте рассмотрим ошибку, в конфигурации по умолчанию есть файл в c:\windows\temp\mpcmdrun.log в этом файле, который используется для регистрации событий, происходящих в mpcmdrun.log процессе, который выполняется в контексте локальной системы (наивысшие привилегии, существующие в Windows), как it4mn сказано, когда файл журнала должен достичь 16 777 216 байт (16 МБ) , чтобы вызвать ошибку, вы можете скачать ее
Хорошо, давайте попробуем воспроизвести ошибку.
Давайте посмотрим, что происходит с procmon.
Как вы можете видеть, патч, похоже, работает так, как должен, вы можете видеть MpCmdRun.exe обработку соединения с GENERIC_ALL доступом, а затем он выполняет контрольный код, FSCTL_GET_REPARSE_POINT и FSCTL_DELETE_REPARSE_POINT оба результата приводят к успеху , элемент управления получить точку повторной обработки просто проверяет, является ли каталог точкой повторной обработки, но точка повторной обработки при удалении управляющего кода попытается преобразовать соединение mpcmdrun.log.bak в каталог, после чего она перейдет к его удалению. Вроде прошился правильно! но с патчем все еще что-то не так, что, если бы мы создали соединение внутри mpcmdrun.log.bak пример: mpcmdrun.log.bak \ test.
Это сработало, теперь у нас есть проблема с произвольным удалением файлов в защитнике Windows.
Хорошо, давайте нанесем еще немного вреда, давайте перейдем к системной оболочке
ПРИМЕЧАНИЕ: этот метод будет работать только в Windows 10.
Давайте посмотрим, какие привилегии даны, и MpCmdRun.exe мы можем проверить их в проводнике процессов.
Похоже, mpcmdrun это дочерний процесс, от MsMpEng.exe ,который на самом деле является AV.
Давайте проверим AV:
Он работал в контексте, NT AUTHORITY\SYSTEM но как насчет других привилегий в токене?
SeRestorePrivilege Кажется, это произошло из - за токена MsMpEng.exe
Это , кажется конец, эта привилегия позволит его владельцу удалить любой файл , даже если он не имеет права делать это в ACL.
В этом случае у нас будет возможность захватить службу, которая будет нацелена на сетевую службу проигрывателя Windows Media, которая по умолчанию расположена в C:\Program Files\Windows Media Player\wmpnetwk.exe этом файле, этот файл защищен NT SERVICE\TRUSTEDINSTALLER этим средством защиты, такие папки защищены от удаления из привилегированного процесса (например, administratorsили SYSTEM), а затем вот список наличия SeRestorePrivilegeEnabled, это позволит нам обойти это , чтобы мы могли очистить весь каталог C:\Program Files\Windows Media Player Однако сетевая служба проигрывателя Windows Media запускает службу по требованию в Windows 10, и ее ACL позволяют интерактивной группе запускать ее, мы можем проверить детали таких служб в Proces hacker.
Это хорошая новость, поэтому, если у нас есть возможность воссоздать C:\Program Files\Windows Media Player каталог, мы можем захватить службу с помощью вредоноса, к счастью и большое спасибо jonasLyk за предоставление метода, позволяющего создавать произвольные каталоги из произвольного удаления файлов, вы можете увидеть статью
Техника проста, если мы удалим весь C:\ProgramData\Microsoft\Windows\WER каталог, инструмент отчетов об ошибках Windows воссоздает его для нас, а затем создаст, C:\ProgramData\Microsoft\Windows\WER\Temp позволяя аутентифицированным пользователям иметь доступ на запись и удаление как в WER, так и в каталогах Temp,
что в свою очередь позволит пользователю абузить создание папки Temp, создавая точки повторной обработки от C:\ProgramData\Microsoft\Windows\WER до , \RPC CONTROL\ а затем создать символическую ссылку из \RPC CONTROL\Temp-> C:\Program Files\Windows Media Playerтак , как только мы повторно запустить запланированное задание папка будет создана с новыми правами позволяя проверку подлинности пользователя , чтобы писать на нем так что мы можем написать полезную нагрузку , а затем запустить службу единственная проблема будет иметь полученные привилегии \Microsoft\Windows\Windows Error Reporting\QueueReportingC:\Program Files\Windows Media Player
Как вы можете видеть здесь, мы не работаем, поскольку NT AUTHORITY\SYSTEM вместо этого работает служба, поскольку NT AUTHORITY\Network Service эта учетная запись службы не имеет полного контроля над системой, и это проблема, которую мы можем легко решить.
Вы можете найти PoC это цепочка, поэтому она должна создать системную оболочку.
(Копипаст с транслитированием гугла)
Ну, во-первых, почему?
Причина, по которой Microsoft прекратила свою дерьмовую программу вознаграждения за ошибки для ошибок Windows eop, поэтому мне не интересно сообщать о них поставщику
В последнее десятилетие я искал ошибки защитника Windows, но просто тратил время, я думал, что MS просто сделал идеальный av, пока я не увидел
Однако это описание от Microsoft:
Признанный парень обычно раскрывает свои ошибки, поэтому я ждал его на этот раз, чтобы посмотреть, смогу ли я обойти исправление безопасности.
а затем он опубликовал свою поэтому, когда я прочитал его статью, мне казалось, что это невозможно.
Давайте рассмотрим ошибку, в конфигурации по умолчанию есть файл в c:\windows\temp\mpcmdrun.log в этом файле, который используется для регистрации событий, происходящих в mpcmdrun.log процессе, который выполняется в контексте локальной системы (наивысшие привилегии, существующие в Windows), как it4mn сказано, когда файл журнала должен достичь 16 777 216 байт (16 МБ) , чтобы вызвать ошибку, вы можете скачать ее
Хорошо, давайте попробуем воспроизвести ошибку.
Давайте посмотрим, что происходит с procmon.
Как вы можете видеть, патч, похоже, работает так, как должен, вы можете видеть MpCmdRun.exe обработку соединения с GENERIC_ALL доступом, а затем он выполняет контрольный код, FSCTL_GET_REPARSE_POINT и FSCTL_DELETE_REPARSE_POINT оба результата приводят к успеху , элемент управления получить точку повторной обработки просто проверяет, является ли каталог точкой повторной обработки, но точка повторной обработки при удалении управляющего кода попытается преобразовать соединение mpcmdrun.log.bak в каталог, после чего она перейдет к его удалению. Вроде прошился правильно! но с патчем все еще что-то не так, что, если бы мы создали соединение внутри mpcmdrun.log.bak пример: mpcmdrun.log.bak \ test.
Это сработало, теперь у нас есть проблема с произвольным удалением файлов в защитнике Windows.
Хорошо, давайте нанесем еще немного вреда, давайте перейдем к системной оболочке
ПРИМЕЧАНИЕ: этот метод будет работать только в Windows 10.
Давайте посмотрим, какие привилегии даны, и MpCmdRun.exe мы можем проверить их в проводнике процессов.
Похоже, mpcmdrun это дочерний процесс, от MsMpEng.exe ,который на самом деле является AV.
Давайте проверим AV:
Он работал в контексте, NT AUTHORITY\SYSTEM но как насчет других привилегий в токене?
SeRestorePrivilege Кажется, это произошло из - за токена MsMpEng.exe
Это , кажется конец, эта привилегия позволит его владельцу удалить любой файл , даже если он не имеет права делать это в ACL.
В этом случае у нас будет возможность захватить службу, которая будет нацелена на сетевую службу проигрывателя Windows Media, которая по умолчанию расположена в C:\Program Files\Windows Media Player\wmpnetwk.exe этом файле, этот файл защищен NT SERVICE\TRUSTEDINSTALLER этим средством защиты, такие папки защищены от удаления из привилегированного процесса (например, administratorsили SYSTEM), а затем вот список наличия SeRestorePrivilegeEnabled, это позволит нам обойти это , чтобы мы могли очистить весь каталог C:\Program Files\Windows Media Player Однако сетевая служба проигрывателя Windows Media запускает службу по требованию в Windows 10, и ее ACL позволяют интерактивной группе запускать ее, мы можем проверить детали таких служб в Proces hacker.
Это хорошая новость, поэтому, если у нас есть возможность воссоздать C:\Program Files\Windows Media Player каталог, мы можем захватить службу с помощью вредоноса, к счастью и большое спасибо jonasLyk за предоставление метода, позволяющего создавать произвольные каталоги из произвольного удаления файлов, вы можете увидеть статью
Техника проста, если мы удалим весь C:\ProgramData\Microsoft\Windows\WER каталог, инструмент отчетов об ошибках Windows воссоздает его для нас, а затем создаст, C:\ProgramData\Microsoft\Windows\WER\Temp позволяя аутентифицированным пользователям иметь доступ на запись и удаление как в WER, так и в каталогах Temp,
что в свою очередь позволит пользователю абузить создание папки Temp, создавая точки повторной обработки от C:\ProgramData\Microsoft\Windows\WER до , \RPC CONTROL\ а затем создать символическую ссылку из \RPC CONTROL\Temp-> C:\Program Files\Windows Media Playerтак , как только мы повторно запустить запланированное задание папка будет создана с новыми правами позволяя проверку подлинности пользователя , чтобы писать на нем так что мы можем написать полезную нагрузку , а затем запустить службу единственная проблема будет иметь полученные привилегии \Microsoft\Windows\Windows Error Reporting\QueueReportingC:\Program Files\Windows Media Player
Как вы можете видеть здесь, мы не работаем, поскольку NT AUTHORITY\SYSTEM вместо этого работает служба, поскольку NT AUTHORITY\Network Service эта учетная запись службы не имеет полного контроля над системой, и это проблема, которую мы можем легко решить.
Вы можете найти PoC это цепочка, поэтому она должна создать системную оболочку.
(Копипаст с транслитированием гугла)
