Win10存在本地提权0day漏洞

发布时间 2018-08-30

一、漏洞描述

2018年8月27日，安全研究人员在Twitter上披露了Windows 10系统中的一个0day漏洞。该漏洞是一个本地提权漏洞，存在于Windows的任务调度服务中，允许攻击者从USER权限提权到SYSTEM权限。微软官方目前还没有提供相应的补丁。

二、漏洞影响范围

Windows 10

Windows Server 2016

三、漏洞分析

Microsoft Windows系统的任务调度服务中高级本地过程调用（ALPC）接口存在本地提权漏洞，该漏洞存在于schedsvc.dll模块中的SchRpcSetSecurity函数，SchRpcSetSecurity函数定义如下，函数功能是设置安全描述符。

HRESULT SchRpcSetSecurity(

[in, string] const wchar_t* path,

[in, string] const wchar_t* sddl,

[in] DWORD flags

);

SchRpcSetSecurity第一个参数为路径path，第二个参数为安全描述符定义语言 (SDDL) 字符串sddl，该函数内部调用了SetSecurity::RpcServer函数。

SetSecurity::RpcServer函数首先调用ConvertStringSecurityDescriptorToSecurityDescriptor 将SchRpcSetSecurity函数传入的sddl字符串转换为安全描述符SecurityDescriptor。并调用TaskPathCanonicalize函数对传入path参数路径规范化为Dst。

然后获取Dst路径的JobSecurity安全描述符pSecurityDescriptor，继而调用JobSecurity::Update函数，传入SecurityDescriptor参数，更新pSecurityDescriptor。

最后，调用JobSecurity::AddRemovePrincipalAce函数设置DACL。

那么如何修改指定目标文件的DACL属性呢？首先，使用ZwSetInformationFile函数为目标文件创建硬链接。然后，调用_SchRpcSetSecurity函数设置硬链接文件的DACL，等同于修改目标文件的DACL。通过设置SchRpcSetSecurity的第3个参数，可以为用户Administrators(BA)、Authenticated Users（AU）添加对硬链接文件的写入权限。

以PrintConfig.dll文件为例，调用SchRpcSetSecurity函数前，文件访问权限如下，此时Administrators不具有对文件的写入权限。

调用SchRpcSetSecurity函数后，文件的权限如下，此时Administrators和Authenticated Users都拥有对文件写入权限。

由于SchRpcSetSecurity函数存在安全验证缺陷，使得当前用户可修改只读文件的DACL，添加写入权限。成功利用该漏洞的结果如下图。

四、安全建议

不要运行未知来源的程序；

 在微软更新补丁后，及时安装补丁。

五、参考链接

https://thehackernews.com/2018/08/windows-zero-day-exploit.html

https://www.kb.cert.org/vuls/id/906424

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子赛博兴安云子可信

法律声明

网络安全防护

网络安全检测

应用安全

数据安全

安全管理

云安全

工控安全

移动及终端安全

密码应用安全

专业安全服务

安全运营中心

知白学院

威胁情报中心

安全通报

研究报告

安全团队

渠道体系

售后服务

升级公告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系我们

安全研究

Win10存在本地提权0day漏洞

关于我们

解决方案

安全研究

联系我们

服务热线