您的位置: 首頁 >科技 >

谷歌Project Zero的Tavis Ormandy發(fā)布了一個名為的漏洞利用工具包ctftool

2019-09-04 12:52:39 編輯: 來源:
導(dǎo)讀 谷歌Project Zero的Tavis Ormandy發(fā)布了一個名為的漏洞利用工具包ctftool,該工具包使用和濫用微軟的文本服務(wù)框架 ,可以有效地獲取任何

谷歌Project Zero的Tavis Ormandy發(fā)布了一個名為的漏洞利用工具包ctftool,該工具包使用和濫用微軟的文本服務(wù)框架 ,可以有效地獲取任何人root,system即在任何未修補(bǔ)的Windows 10系統(tǒng)上,他們能夠登錄到。這個漏洞的補(bǔ)丁- 與其他幾個嚴(yán)重的問題一起 - 在本周的補(bǔ)丁星期二更新中消失了 。

我們獨立地驗證了Ormandy的概念驗證,它正是它在錫上所說的:遵循指示,nt authority\system幾秒鐘后你就會得到一個特權(quán)命令提示符。我們還獨立驗證應(yīng)用KB4512508已關(guān)閉此漏洞。應(yīng)用8月安全更新后,漏洞利用不再有效。

該全書面記錄奧曼迪的調(diào)查結(jié)果是迷人的,令人難以置信的技術(shù)細(xì)節(jié)。TL; DR版本是微軟的文本服務(wù)框架,用于提供多語言支持,并且自Windows XP以來一直存在,包括一個名為的庫MSCTF.DLL。(沒有明確的文檔證明了Microsoft希望CTF代表什么,但隨著這個工具的發(fā)布,它可能代表Capture The Flag。)

文本服務(wù)框架需要監(jiān)視和更改用戶對應(yīng)用程序窗口的輸入,以便提供簡體中文(拼音)等語言服務(wù)。如果您為拼音安裝語言支持,您可以看到這一點。將語言設(shè)置為拼音,您可以輸入任何窗口,并且可以在子菜單中顯示與您的拼音輸入(或您用英語輸入的整個單詞)匹配的漢字建議。

可以使用鍵盤快捷鍵快速選擇此子菜單中的字符,然后使用鍵盤快捷鍵替換您鍵入的內(nèi)容。

Ormandy并沒有開始在文本服務(wù)框架中尋找問題 - 所有他真正想要的是確認(rèn)他無法將來自非特權(quán)進(jìn)程的進(jìn)程間消息發(fā)送到特權(quán)進(jìn)程。但當(dāng)他編寫一個測試用例將所有可能的消息發(fā)送到以管理員身份運行的Notepad.exe實例時,他發(fā)現(xiàn)事實并非如此:他的一些進(jìn)程間消息意外地通過了。

一旦Ormandy確定了罪魁禍?zhǔn)?MSCTF.DLL,下一步就是弄清楚可以用它做些什么。正如他所發(fā)現(xiàn)的,答案是“幾乎你想要的任何東西。” CTF協(xié)議是一個可追溯到2001年的Office XP的遺留系統(tǒng),甚至包括對Windows 98的支持; 從Windows XP本身開始,基本系統(tǒng)就可以使用它。協(xié)議中沒有實現(xiàn)任何訪問??控制 - 即使沙箱進(jìn)程也可以連接到沙箱外的CTF會話。客戶端報告他們的線程ID,進(jìn)程ID和窗口句柄 - 但沒有任何驗證,也沒有任何東西阻止這樣的客戶端通過它的牙齒來獲得它想要的東西。

更糟糕的是,CTF協(xié)議允許客戶端調(diào)用它引用的程序中的任何函數(shù)指針......并且CTF協(xié)議 捕獲異常。因此,客戶端可以有效地繼續(xù)攻擊它不了解的目標(biāo),而不會導(dǎo)致崩潰。您可能認(rèn)為地址空間布局隨機(jī)化 - 一種現(xiàn)代安全技術(shù),可以預(yù)測應(yīng)用程序的易受攻擊部分在內(nèi)存中的位置更具挑戰(zhàn)性 - 會使事情變得更加困難。不幸的是,你錯了,因為事實證明,CTF編組協(xié)議告訴你監(jiān)視器堆棧的位置。

這會讓你進(jìn)入監(jiān)視器但是還沒有讓你進(jìn)入你想要擁有的客戶端應(yīng)用程序。該過程確實需要反復(fù)試驗和錯誤,但該試驗和錯誤可以在腳本中自動執(zhí)行。這正是Ormandy的概念驗證腳本所做的。ctf-consent-system.ctf在該工具中運行時,它會使用runAs帶有ShellExecute()命令的動詞生成UAC對話框。一旦存在UAC對話框,ctftool使用CTF框架連接到它,探測它并映射其堆棧,這需要幾秒鐘。完成后,它會調(diào)用內(nèi)部函數(shù)consent.exe。這表明本地用戶已成功輸入所請求的憑證 - 而Bob是您的叔叔; 你有一個cmd.exe運行 實例nt authority\system。

這個漏洞在Windows堆棧中潛伏了20年未被承認(rèn),其后果甚至比概念驗證漏洞更加深遠(yuǎn) - 甚至可以在未打補(bǔ)丁的系統(tǒng)上使用CTF來繞過 最新的,應(yīng)該是最安全設(shè)計的應(yīng)用程序中使用的AppContainer隔離,例如Microsoft Edge。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。