Win10本地提权0day漏洞安全通告
发布时间 2018-08-29漏洞编号和级别
CVE编号:无,危险级别:高,CVSS分值:官方未评定
影响版本
Windows 10 32/64位操作系统
漏洞概述
2018年8月27日,安全研究人员在github上公布了最新的win10x64版的本地提权漏洞,并且在推特上对其提权的demo进行了演示。在github上的SandboxEscaper上有着完整的漏洞利用程序以及demo,并且被其他安全研究专家证实该漏洞可以在最近的win10上复现。
该漏洞的原因在于win10系统的任务调度服务中有alpc的调用接口,该接口导出了SchRpcSetSecurity函数,该函数正是本次漏洞利用到的函数。该函数的原型如下:
[in][string] wchar_t* arg_1, //Task name
[in][string] wchar_t* arg_2, //Security Descriptor string
[in]long arg_3);
当任意权限的用户调用该函数时,该函数会检测 c:\windows\tasks目录下是否存在一个后缀为job的文件,如果该文件存在会向该文件写入指定的DACL数据。本次漏洞利用的方式即通过硬链接的方式将该job文件指定链接到特定的dll上,这样当用户调用该函数时会向特定的dll写入数据,而特定的dll往往是系统级别的dll。在github上发布的漏洞利用程序则会向printconfig.dll写入提权代码,并通过启动打印服务spoolsv.exe来执行提权代码,从而实现内核提权。
漏洞验证
随后利用ie浏览器进行测试时发现无法利用成功,虽然漏洞利用的dll已经被写入到spoolsv.exe中,但却没有实现漏洞真正的效果。接下来按照演示demo中的操作,打开一个notepad程序,并对notepad程序进行注入。
随后查看spoolsv.exe下的所有子进程,发现该notepad.exe程序被spoolsv.exe程序重新打开,和github上的漏洞利用的demo中的效果一致,可以确定漏洞利用成功。
而该dll的修改时间也显示是刚刚漏洞利用的时间,至此漏洞复现成功。
修复建议
厂商尚未发布相关补丁,谨慎执行未经审核来源对的程序。
参考链接
https://github.com/SandboxEscaper/randomrepo
京公网安备11010802024551号