您的位置: 首頁 >科技 >

谷歌Project Zero的Tavis Ormandy發(fā)布了一個名為的漏洞利用工具包ctftool

2019-09-04 12:52:39 編輯: 來源:
導讀 谷歌Project Zero的Tavis Ormandy發(fā)布了一個名為的漏洞利用工具包ctftool,該工具包使用和濫用微軟的文本服務框架 ,可以有效地獲取任何

谷歌Project Zero的Tavis Ormandy發(fā)布了一個名為的漏洞利用工具包ctftool,該工具包使用和濫用微軟的文本服務框架 ,可以有效地獲取任何人root,system即在任何未修補的Windows 10系統(tǒng)上,他們能夠登錄到。這個漏洞的補丁- 與其他幾個嚴重的問題一起 - 在本周的補丁星期二更新中消失了 。

我們獨立地驗證了Ormandy的概念驗證,它正是它在錫上所說的:遵循指示,nt authority\system幾秒鐘后你就會得到一個特權命令提示符。我們還獨立驗證應用KB4512508已關閉此漏洞。應用8月安全更新后,漏洞利用不再有效。

該全書面記錄奧曼迪的調查結果是迷人的,令人難以置信的技術細節(jié)。TL; DR版本是微軟的文本服務框架,用于提供多語言支持,并且自Windows XP以來一直存在,包括一個名為的庫MSCTF.DLL。(沒有明確的文檔證明了Microsoft希望CTF代表什么,但隨著這個工具的發(fā)布,它可能代表Capture The Flag。)

文本服務框架需要監(jiān)視和更改用戶對應用程序窗口的輸入,以便提供簡體中文(拼音)等語言服務。如果您為拼音安裝語言支持,您可以看到這一點。將語言設置為拼音,您可以輸入任何窗口,并且可以在子菜單中顯示與您的拼音輸入(或您用英語輸入的整個單詞)匹配的漢字建議。

可以使用鍵盤快捷鍵快速選擇此子菜單中的字符,然后使用鍵盤快捷鍵替換您鍵入的內容。

Ormandy并沒有開始在文本服務框架中尋找問題 - 所有他真正想要的是確認他無法將來自非特權進程的進程間消息發(fā)送到特權進程。但當他編寫一個測試用例將所有可能的消息發(fā)送到以管理員身份運行的Notepad.exe實例時,他發(fā)現事實并非如此:他的一些進程間消息意外地通過了。

一旦Ormandy確定了罪魁禍首 MSCTF.DLL,下一步就是弄清楚可以用它做些什么。正如他所發(fā)現的,答案是“幾乎你想要的任何東西。” CTF協(xié)議是一個可追溯到2001年的Office XP的遺留系統(tǒng),甚至包括對Windows 98的支持; 從Windows XP本身開始,基本系統(tǒng)就可以使用它。協(xié)議中沒有實現任何訪問??控制 - 即使沙箱進程也可以連接到沙箱外的CTF會話。客戶端報告他們的線程ID,進程ID和窗口句柄 - 但沒有任何驗證,也沒有任何東西阻止這樣的客戶端通過它的牙齒來獲得它想要的東西。

更糟糕的是,CTF協(xié)議允許客戶端調用它引用的程序中的任何函數指針......并且CTF協(xié)議 捕獲異常。因此,客戶端可以有效地繼續(xù)攻擊它不了解的目標,而不會導致崩潰。您可能認為地址空間布局隨機化 - 一種現代安全技術,可以預測應用程序的易受攻擊部分在內存中的位置更具挑戰(zhàn)性 - 會使事情變得更加困難。不幸的是,你錯了,因為事實證明,CTF編組協(xié)議告訴你監(jiān)視器堆棧的位置。

這會讓你進入監(jiān)視器但是還沒有讓你進入你想要擁有的客戶端應用程序。該過程確實需要反復試驗和錯誤,但該試驗和錯誤可以在腳本中自動執(zhí)行。這正是Ormandy的概念驗證腳本所做的。ctf-consent-system.ctf在該工具中運行時,它會使用runAs帶有ShellExecute()命令的動詞生成UAC對話框。一旦存在UAC對話框,ctftool使用CTF框架連接到它,探測它并映射其堆棧,這需要幾秒鐘。完成后,它會調用內部函數consent.exe。這表明本地用戶已成功輸入所請求的憑證 - 而Bob是您的叔叔; 你有一個cmd.exe運行 實例nt authority\system。

這個漏洞在Windows堆棧中潛伏了20年未被承認,其后果甚至比概念驗證漏洞更加深遠 - 甚至可以在未打補丁的系統(tǒng)上使用CTF來繞過 最新的,應該是最安全設計的應用程序中使用的AppContainer隔離,例如Microsoft Edge。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

2016-2022 All Rights Reserved.平安財經網.復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網 版權歸原作者所有。