概述
近期星网实验室研究人员从公开途径获悉Windows Ancillary Function Driver for WinSock 存在权限提升漏洞(CVE-2023-21768),针对该漏洞进行初步分析和复现,以下是漏洞详细情况。
漏洞背景
Ancillary Function Driver for WinSock (简称afd) 是 Windows系统网络部分的核心工具,Windows中所有socket文件的操作都是通过afd来完成的,例如创建、销毁、读写等。由于应用程序没有正确地在 Windows Ancillary Function Driver for WinSock中施加安全限制,从而导致本地攻击者绕过安全限制,将权限提升至SYSTEM。
漏洞描述
该漏洞是一个权限提升漏洞,经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。攻击者可通过使用PetitPotam工具,在受害主机上运行特定可执行程序并对普通用户权限提升至 nt authority system ,进而执行其他操作。
漏洞原因
etitPotam 使用 MS-EFSR(远程加密文件系统),这是一种用于对远程存储和通过网络访问的加密数据执行维护和管理操作的协议。有一系列类似于EfsRpcOpenFileRawMS-EFSR中的API。API的语法 EfsRpcOpenFileRaw 如下所示:
long EfsRpcOpenFileRaw([in] handle_t binding_h,[out] PEXIMPORT_CONTEXT_HANDLE* hContext,[in, string] wchar_t* FileName,[in] long Flags);
此类API可以通过FileName参数指定UNC路径,以打开服务器上的加密对象以进行备份和还原。当指定格式的路径时,lsass.exe服务将以账户\IPpipesrvsvc权限访问 NT AUTHORITY SYSTEM。
如果我们可以调用EfsRpcOpenFileRawAPI强制本地计算机连接我们创建的恶意命名管道,那么我们就可以模拟命名管道客户端进程并最终获得 SYSTEM权限。
影响范围
漏洞复现
测试环境为Windows Server 2022 Standard 21H2系统,使用编译好的程序进行验证,将当前权限提升为system权限。
修复建议
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
系统重新启动后,可通过进入"Windows更新" -> " 查看更新历史记录" 查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击 " Microsoft 更新目录",然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的安全补丁并安装:https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2023-21768
PetitPotam
由于相关补丁的限制,PetitPotam 不适用于较新版本的 Windows。但是,在调用 EFS 之前将 AuthnLevel 设置为RPC_C_AUTHN_LEVEL_PKT_PRIVACYviaRpcBindingSetAuthInfoW在最新系统上有效。
关注公众号,回复【CVE-2023-21768】获取漏洞利用工具(该工具仅限用于技术研究学习)
-=[感·谢·阅·读]=-
关于我们
星网实验室成立(starnetlabs)于2021年10月,是智网安云(武汉)信息技术有限公司旗下安全研究院实验室之一,其成员主要来源于国内一线安全厂商或监管执法机构,多名成员取得CISSP,CISP,PMP,CISAW,PTE等国内网络安全圈行业认证证书,该实验室研究员多次参加国内和省内网络安全攻防比赛取得佳绩。实验室主要研究方向:网络安全攻防竞赛、最前沿的攻防技术,云计算安全、物联网安全等。形成一支结构合理、创新能力强的产学研队伍。星网实验室将持续沉淀前沿安全能力,面向产业输出业蓝军网络安全对抗工具、红队攻击武器平台、蜜网平台、大数据安全管理中心等产品,并持续开放各项核心能力,推动产业安全能力建设。护航各行业数字化变革,守护大数据时代的网络安全是星网实验室的使命。
大
佬
,
关
注
一
下
呗
!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...