Windows SysInternals Sysmon 权限提升 (CVE-2023-29343) 漏洞的 PoC 发布
2023-6-19 10:9:23 Author: Ots安全(查看原文) 阅读量:26 收藏
在动态的网络安全世界中,威胁不断演变,系统管理员和日常用户都需要保持警惕。安全研究员 Filip Dragović公开发布了针对 Microsoft Windows SysInternals Sysmon 权限升级漏洞的概念验证 (PoC) 漏洞,追踪为 CVE-2023-29343 。此特权提升漏洞可能会授予经过身份验证的攻击者获取 SYSTEM 权限的能力,这是 Windows 环境中的最高权限级别。
此问题的核心错误涉及 Sysmon 工具,这是一种 Windows 系统服务和设备驱动程序,用于监视系统活动并将其记录到 Windows 事件日志中。正如 Dragović 所详述的那样,问题在于 Sysmon 如何验证其存档目录的访问权限和所有权。
在上一个安全补丁之后,Sysmon 被配置为检查存档目录是否存在,如果存在,则确认它属于 SYSTEM。此外,它确保访问权限专门授予 SYSTEM。如果这两个条件都满足,Sysmon 将继续写入或删除该目录中的文件。
不幸的是,正如 Dragović 指出的那样,低权限用户不可能更改文件或目录的所有权。这需要识别已由 SYSTEM 拥有但授予完全访问权限(或至少 WRITE_DAC、DELETE 和 FILE_WRITE_ATTRIBUTES)给低权限用户或此类用户可能属于的任何组的目录。
这是 Sysmon 版本 14.14 中任意文件写入错误的 PoC


在最后一个补丁之后,Sysmon 将检查文件目录是否存在,如果存在,它将检查文件目录是否由 NT AUTHORITY\SYSTEM 拥有,并访问权限只授权 NT AUTHORITY\SYSTEM。如果两个条件都是真的,则Sysmon将写入/删除应目录中的文件。
由于无法以低权限用户身份更改文件/目录的所有权限,因此我不得不找不到SYSTEM 拥有但拥有低权限用户(或低权限用户)所属的任何组)完全访问权限或至少WRITE_DAC| 的目录。删除|FILE_WRITE_ATTRIBUTES。
我在默认安装中找不到这样的目录,但可以通过使用 Windows 服务跟踪和 RasMan 服务来创建一个。
由于CVE-2023-28222补丁引入了更改,此PoC仅适用于4月补丁之之前的Sysmon版本14.14和Windows客户端,这杀了我用来创建SYSTEM 拥有的目录并授予低权限用户完全访问权限的技巧。如果您可以使用其他 Windows 服务来创建目录(或查找由第三方应用程序创建的目录 :)),则可以在 4 月补丁后修改 PoC 以在客户端上工作

项目地址:

https://github.com/Wh04m1001/CVE-2023-29343

参考:

https://itm4n.github.io/cve-2020-0668-windows-service-tracing-eop/

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499045&idx=1&sn=b6df9bdc2bca7ba313a516475e1b4771&chksm=9badb46eacda3d780175668864b6d9e8c9b10f97b9c02b6af5804b734a8f474e3defb6a6978a#rd
如有侵权请联系:admin#unsafe.sh