本地攻擊者可以使用組策略漏洞來(lái)接管企業(yè)Windows系統(tǒng)

admin

本地攻擊者可以使用組策略漏洞來(lái)接管企業(yè)Windows系統(tǒng)

Microsoft發(fā)行了一個(gè)補(bǔ)丁程序來(lái)修復(fù)一個(gè)漏洞，該漏洞可能允許受感染的非特權(quán)用戶(hù)帳戶(hù)在系統(tǒng)上放置惡意DLL。

Microsoft今天修復(fù)了從Windows和Office到Visual Studio，Azure DevOps和Microsoft Apps for Android的整個(gè)軟件產(chǎn)品中的129個(gè)漏洞。這些缺陷中有11個(gè)是至關(guān)重要的，應(yīng)立即進(jìn)行修補(bǔ)，但是一個(gè)特定的漏洞很容易被忽略，并且可以允許具有本地訪(fǎng)問(wèn)權(quán)限的黑客完全控制企業(yè)Windows系統(tǒng)。

跟蹤為CVE-2020-1317的問(wèn)題影響集中管理Active Directory環(huán)境中Windows計(jì)算機(jī)和用戶(hù)設(shè)置的最基本機(jī)制之一：組策略。更重要的是，該漏洞已經(jīng)很久了，并且從Windows Server 2008開(kāi)始在所有用于臺(tái)式機(jī)和服務(wù)器的Windows版本中都存在。

“當(dāng)組策略不正確地檢查訪(fǎng)問(wèn)權(quán)限時(shí)，將存在特權(quán)提升漏洞。成功利用此漏洞的攻擊者可以在提升的上下文中運(yùn)行進(jìn)程。要利用此漏洞，攻擊者首先必須登錄到系統(tǒng)，然后運(yùn)行專(zhuān)門(mén)設(shè)計(jì)的應(yīng)用程序來(lái)控制受影響的系統(tǒng)�！�
除此以外，該公司的咨詢(xún)沒(méi)有其他信息，但是據(jù)發(fā)現(xiàn)該漏洞的Cyber​​Ark研究人員稱(chēng)，這是非常嚴(yán)重的。

攻擊者如何利用組策略漏洞
組策略設(shè)置作為組策略對(duì)象（GPO）存儲(chǔ)在Windows系統(tǒng)上，并且域管理員可以通過(guò)網(wǎng)絡(luò)從域控制器分發(fā)它們。但是，默認(rèn)情況下，組策略更新不是即時(shí)的，通常需要一段時(shí)間才能在網(wǎng)絡(luò)上傳播，這就是Windows包含一個(gè)名為GPUpdate.exe的工具的原因，用戶(hù)可以運(yùn)行該工具來(lái)向域控制器請(qǐng)求GPO更新，而不必等待它們。

安全性Cyber​​Ark安全研究人員在博客文章中說(shuō)：“有趣的是，本地非特權(quán)用戶(hù)可以手動(dòng)請(qǐng)求組策略更新�！� “因此，如果您設(shè)法在組策略更新過(guò)程中發(fā)現(xiàn)錯(cuò)誤，則可以隨時(shí)觸發(fā)它，從而使?jié)撛诘墓�擊變得更加容易。�?br />
組策略更新通過(guò)名為GPSVC的服務(wù)處理，該服務(wù)在svchost.exe進(jìn)程下運(yùn)行，該進(jìn)程處理Windows中的許多服務(wù)。如預(yù)期的那樣，此服務(wù)在NT AUTHORITY \ SYSTEM的上下文中以最高的特權(quán)運(yùn)行。

可以將組策略更新鏈接到計(jì)算機(jī)，站點(diǎn)，域或組織單位，該服務(wù)會(huì)將它們保存為名為Applied-Object.xml的文件，然后將其重命名為策略適用的對(duì)象類(lèi)型。例如，有關(guān)打印機(jī)的策略將轉(zhuǎn)換為Printers \ Printers.xml。研究人員發(fā)現(xiàn)，鏈接到組織單位的GPO更新（針對(duì)該域中的所有用戶(hù)和計(jì)算機(jī)）被保存在計(jì)算機(jī)上的％localappdata％目錄下的某個(gè)位置中，任何本地用戶(hù)都可以訪(fǎng)問(wèn)該目錄。

此外，在執(zhí)行此操作時(shí)，服務(wù)不會(huì)將其上下文和特權(quán)切換到請(qǐng)求更新的本地用戶(hù)（在Windows API語(yǔ)言中稱(chēng)為用戶(hù)模擬），而是使用LocalSystem特權(quán)執(zhí)行文件寫(xiě)入操作。因此，此機(jī)制提供了這樣一種情況：非特權(quán)用戶(hù)可以使用GPUpdate.exe觸發(fā)具有LocalSystem特權(quán)的文件寫(xiě)入操作到他們有權(quán)訪(fǎng)問(wèn)的目錄中。

利用鏈的最后一步是讓用戶(hù)創(chuàng)建一個(gè)符號(hào)鏈接，該符號(hào)鏈接將要寫(xiě)入的目標(biāo)文件位置（例如Printers.xml）鏈接到位于受保護(hù)的Windows目錄（例如C：\）中的系統(tǒng)文件。 Windows \ System32 \，其中駐留了操作系統(tǒng)內(nèi)核執(zhí)行的許多文件。這意味著，當(dāng)GPSVC嘗試在用戶(hù)可訪(fǎng)問(wèn)的位置寫(xiě)入Printers.xml文件時(shí)，實(shí)際上將被定向?yàn)樵贑：\ Windows \ System32 \中寫(xiě)入文件，因?yàn)樗�具有系統(tǒng)特權(quán)，因此可以這樣做。

Cyber​​Ark研究人員將這些步驟描述如下：

列出您在C：\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的組策略GUID。
如果您有多個(gè)GUID，請(qǐng)檢查最近更新的目錄。
進(jìn)入該目錄并進(jìn)入子目錄，即用戶(hù)SID。
查看最新的修改目錄。這將因您的環(huán)境而異。就我而言，它是打印機(jī)目錄。
刪除打印機(jī)目錄內(nèi)的文件Printers.xml。
創(chuàng)建指向\ RPC Control的NTFS掛載點(diǎn)+與Printers.xml的對(duì)象管理器符號(hào)鏈接，該鏈接指向C：\ Windows \ System32 \ whatever.dll。
打開(kāi)您喜歡的終端并運(yùn)行g(shù)pupdate。
非特權(quán)用戶(hù)在受保護(hù)的OS目錄中寫(xiě)入文件的能力之所以危險(xiǎn)是因?yàn)樗�可以用于所謂的DLL劫持