谷歌Project Zero的Tavis Ormandy發(fā)布了一個(gè)名為的漏洞利用工具包c(diǎn)tftool

谷歌Project Zero的Tavis Ormandy發(fā)布了一個(gè)名為的漏洞利用工具包c(diǎn)tftool，該工具包使用和濫用微軟的文本服務(wù)框架 ，可以有效地獲取任何人root，system即在任何未修補(bǔ)的Windows 10系統(tǒng)上，他們能夠登錄到。這個(gè)漏洞的補(bǔ)丁- 與其他幾個(gè)嚴(yán)重的問(wèn)題一起 - 在本周的補(bǔ)丁星期二更新中消失了 。

我們獨(dú)立地驗(yàn)證了Ormandy的概念驗(yàn)證，它正是它在錫上所說(shuō)的：遵循指示，nt authority\system幾秒鐘后你就會(huì)得到一個(gè)特權(quán)命令提示符。我們還獨(dú)立驗(yàn)證應(yīng)用KB4512508已關(guān)閉此漏洞。應(yīng)用8月安全更新后，漏洞利用不再有效。

該全書(shū)面記錄奧曼迪的調(diào)查結(jié)果是迷人的，令人難以置信的技術(shù)細(xì)節(jié)。TL; DR版本是微軟的文本服務(wù)框架，用于提供多語(yǔ)言支持，并且自Windows XP以來(lái)一直存在，包括一個(gè)名為的庫(kù)MSCTF.DLL。(沒(méi)有明確的文檔證明了Microsoft希望CTF代表什么，但隨著這個(gè)工具的發(fā)布，它可能代表Capture The Flag。)

文本服務(wù)框架需要監(jiān)視和更改用戶對(duì)應(yīng)用程序窗口的輸入，以便提供簡(jiǎn)體中文(拼音)等語(yǔ)言服務(wù)。如果您為拼音安裝語(yǔ)言支持，您可以看到這一點(diǎn)。將語(yǔ)言設(shè)置為拼音，您可以輸入任何窗口，并且可以在子菜單中顯示與您的拼音輸入(或您用英語(yǔ)輸入的整個(gè)單詞)匹配的漢字建議。

可以使用鍵盤(pán)快捷鍵快速選擇此子菜單中的字符，然后使用鍵盤(pán)快捷鍵替換您鍵入的內(nèi)容。

Ormandy并沒(méi)有開(kāi)始在文本服務(wù)框架中尋找問(wèn)題 - 所有他真正想要的是確認(rèn)他無(wú)法將來(lái)自非特權(quán)進(jìn)程的進(jìn)程間消息發(fā)送到特權(quán)進(jìn)程。但當(dāng)他編寫(xiě)一個(gè)測(cè)試用例將所有可能的消息發(fā)送到以管理員身份運(yùn)行的Notepad.exe實(shí)例時(shí)，他發(fā)現(xiàn)事實(shí)并非如此：他的一些進(jìn)程間消息意外地通過(guò)了。

一旦Ormandy確定了罪魁禍?zhǔn)?MSCTF.DLL，下一步就是弄清楚可以用它做些什么。正如他所發(fā)現(xiàn)的，答案是“幾乎你想要的任何東西。” CTF協(xié)議是一個(gè)可追溯到2001年的Office XP的遺留系統(tǒng)，甚至包括對(duì)Windows 98的支持; 從Windows XP本身開(kāi)始，基本系統(tǒng)就可以使用它。協(xié)議中沒(méi)有實(shí)現(xiàn)任何訪問(wèn)??控制 - 即使沙箱進(jìn)程也可以連接到沙箱外的CTF會(huì)話。客戶端報(bào)告他們的線程ID，進(jìn)程ID和窗口句柄 - 但沒(méi)有任何驗(yàn)證，也沒(méi)有任何東西阻止這樣的客戶端通過(guò)它的牙齒來(lái)獲得它想要的東西。

更糟糕的是，CTF協(xié)議允許客戶端調(diào)用它引用的程序中的任何函數(shù)指針......并且CTF協(xié)議 捕獲異常。因此，客戶端可以有效地繼續(xù)攻擊它不了解的目標(biāo)，而不會(huì)導(dǎo)致崩潰。您可能認(rèn)為地址空間布局隨機(jī)化 - 一種現(xiàn)代安全技術(shù)，可以預(yù)測(cè)應(yīng)用程序的易受攻擊部分在內(nèi)存中的位置更具挑戰(zhàn)性 - 會(huì)使事情變得更加困難。不幸的是，你錯(cuò)了，因?yàn)槭聦?shí)證明，CTF編組協(xié)議告訴你監(jiān)視器堆棧的位置。

這會(huì)讓你進(jìn)入監(jiān)視器但是還沒(méi)有讓你進(jìn)入你想要擁有的客戶端應(yīng)用程序。該過(guò)程確實(shí)需要反復(fù)試驗(yàn)和錯(cuò)誤，但該試驗(yàn)和錯(cuò)誤可以在腳本中自動(dòng)執(zhí)行。這正是Ormandy的概念驗(yàn)證腳本所做的。ctf-consent-system.ctf在該工具中運(yùn)行時(shí)，它會(huì)使用runAs帶有ShellExecute()命令的動(dòng)詞生成UAC對(duì)話框。一旦存在UAC對(duì)話框，ctftool使用CTF框架連接到它，探測(cè)它并映射其堆棧，這需要幾秒鐘。完成后，它會(huì)調(diào)用內(nèi)部函數(shù)consent.exe。這表明本地用戶已成功輸入所請(qǐng)求的憑證 - 而B(niǎo)ob是您的叔叔; 你有一個(gè)cmd.exe運(yùn)行 實(shí)例nt authority\system。

這個(gè)漏洞在Windows堆棧中潛伏了20年未被承認(rèn)，其后果甚至比概念驗(yàn)證漏洞更加深遠(yuǎn) - 甚至可以在未打補(bǔ)丁的系統(tǒng)上使用CTF來(lái)繞過(guò) 最新的，應(yīng)該是最安全設(shè)計(jì)的應(yīng)用程序中使用的AppContainer隔離，例如Microsoft Edge。