本地攻擊者可以使用組策略漏洞來接管企業(yè)Windows系統(tǒng)

admin

本地攻擊者可以使用組策略漏洞來接管企業(yè)Windows系統(tǒng)

Microsoft發(fā)行了一個補(bǔ)丁程序來修復(fù)一個漏洞，該漏洞可能允許受感染的非特權(quán)用戶帳戶在系統(tǒng)上放置惡意DLL。

Microsoft今天修復(fù)了從Windows和Office到Visual Studio，Azure DevOps和Microsoft Apps for Android的整個軟件產(chǎn)品中的129個漏洞。這些缺陷中有11個是至關(guān)重要的，應(yīng)立即進(jìn)行修補(bǔ)，但是一個特定的漏洞很容易被忽略，并且可以允許具有本地訪問權(quán)限的黑客完全控制企業(yè)Windows系統(tǒng)。

跟蹤為CVE-2020-1317的問題影響集中管理Active Directory環(huán)境中Windows計算機(jī)和用戶設(shè)置的最基本機(jī)制之一：組策略。更重要的是，該漏洞已經(jīng)很久了，并且從Windows Server 2008開始在所有用于臺式機(jī)和服務(wù)器的Windows版本中都存在。

“當(dāng)組策略不正確地檢查訪問權(quán)限時，將存在特權(quán)提升漏洞。成功利用此漏洞的攻擊者可以在提升的上下文中運(yùn)行進(jìn)程。要利用此漏洞，攻擊者首先必須登錄到系統(tǒng)，然后運(yùn)行專門設(shè)計的應(yīng)用程序來控制受影響的系統(tǒng)。”
除此以外，該公司的咨詢沒有其他信息，但是據(jù)發(fā)現(xiàn)該漏洞的Cyber​​Ark研究人員稱，這是非常嚴(yán)重的。

攻擊者如何利用組策略漏洞
組策略設(shè)置作為組策略對象（GPO）存儲在Windows系統(tǒng)上，并且域管理員可以通過網(wǎng)絡(luò)從域控制器分發(fā)它們。但是，默認(rèn)情況下，組策略更新不是即時的，通常需要一段時間才能在網(wǎng)絡(luò)上傳播，這就是Windows包含一個名為GPUpdate.exe的工具的原因，用戶可以運(yùn)行該工具來向域控制器請求GPO更新，而不必等待它們。

安全性Cyber​​Ark安全研究人員在博客文章中說：“有趣的是，本地非特權(quán)用戶可以手動請求組策略更新。” “因此，如果您設(shè)法在組策略更新過程中發(fā)現(xiàn)錯誤，則可以隨時觸發(fā)它，從而使?jié)撛诘墓�擊變得更加容易。�?br />
組策略更新通過名為GPSVC的服務(wù)處理，該服務(wù)在svchost.exe進(jìn)程下運(yùn)行，該進(jìn)程處理Windows中的許多服務(wù)。如預(yù)期的那樣，此服務(wù)在NT AUTHORITY \ SYSTEM的上下文中以最高的特權(quán)運(yùn)行。

可以將組策略更新鏈接到計算機(jī)，站點，域或組織單位，該服務(wù)會將它們保存為名為Applied-Object.xml的文件，然后將其重命名為策略適用的對象類型。例如，有關(guān)打印機(jī)的策略將轉(zhuǎn)換為Printers \ Printers.xml。研究人員發(fā)現(xiàn)，鏈接到組織單位的GPO更新（針對該域中的所有用戶和計算機(jī)）被保存在計算機(jī)上的％localappdata％目錄下的某個位置中，任何本地用戶都可以訪問該目錄。

此外，在執(zhí)行此操作時，服務(wù)不會將其上下文和特權(quán)切換到請求更新的本地用戶（在Windows API語言中稱為用戶模擬），而是使用LocalSystem特權(quán)執(zhí)行文件寫入操作。因此，此機(jī)制提供了這樣一種情況：非特權(quán)用戶可以使用GPUpdate.exe觸發(fā)具有LocalSystem特權(quán)的文件寫入操作到他們有權(quán)訪問的目錄中。

利用鏈的最后一步是讓用戶創(chuàng)建一個符號鏈接，該符號鏈接將要寫入的目標(biāo)文件位置（例如Printers.xml）鏈接到位于受保護(hù)的Windows目錄（例如C：\）中的系統(tǒng)文件。 Windows \ System32 \，其中駐留了操作系統(tǒng)內(nèi)核執(zhí)行的許多文件。這意味著，當(dāng)GPSVC嘗試在用戶可訪問的位置寫入Printers.xml文件時，實際上將被定向為在C：\ Windows \ System32 \中寫入文件，因為它具有系統(tǒng)特權(quán)，因此可以這樣做。

Cyber​​Ark研究人員將這些步驟描述如下：

列出您在C：\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的組策略GUID。
如果您有多個GUID，請檢查最近更新的目錄。
進(jìn)入該目錄并進(jìn)入子目錄，即用戶SID。
查看最新的修改目錄。這將因您的環(huán)境而異。就我而言，它是打印機(jī)目錄。
刪除打印機(jī)目錄內(nèi)的文件Printers.xml。
創(chuàng)建指向\ RPC Control的NTFS掛載點+與Printers.xml的對象管理器符號鏈接，該鏈接指向C：\ Windows \ System32 \ whatever.dll。
打開您喜歡的終端并運(yùn)行g(shù)pupdate。
非特權(quán)用戶在受保護(hù)的OS目錄中寫入文件的能力之所以危險是因為它可以用于所謂的DLL劫持