此篇文章发布距今已超过147天,您需要注意文章的内容或图片是否可用!
介绍
这是 Filip Dragovic (@filip_dragovic) CVE-2023-36874 Windows 错误报告 LPE 漏洞的成熟且可操作的 CobaltStrike BOF 实现。他通过反转有问题的易受攻击的 DLL 并创建对该漏洞利用至关重要的未记录的 COM 结构,在创建有效漏洞利用方面完成了繁重的工作。- 该 BOF 会将用户指定的 EXE 删除到目标计算机上的磁盘,然后触发漏洞,导致 EXE 被 SYSTEM 运行。
- Microsoft 将这一漏洞的披露归功于 Google 的威胁分析小组,但它是通过CrowdStrike 发布的研究引起我注意的。
这篇博文列出了与此漏洞相关的许多不同的工件;基于工件的命名约定(8.exe、2016.exe、2019.exe、10new+11.exe 等)以及Microsoft 为其发布补丁的事实可以追溯到 Server 2008,它可以推断,该漏洞影响了相当多不同版本的Windows。此 BOF 仅适用于 Windows 10 和 Windows 11 21H1 - 22H2;它可能也适用于 20H1/H2,但我没有机器来测试它。在早期版本的 Windows 上,此漏洞会使运行它的进程崩溃。我有一种预感,这与 wercplsupport.dll COM 相关结构的差异有关,并且通过一些额外的工作应该可以克服这个问题,但是对于以前版本的 Windows,还有很多其他漏洞,所以我现在将该任务留给其他人。用法
在 CobaltStrike 中加载 wer_lpe.cna,然后将填充 wer_lpe 命令。
提供要上传的 EXE 的路径,以及当前低权限用户具有写入权限的目录(可选)。如果未指定目录,wer_lpe 将尝试写入 Beacon 的当前目录。
规避/定制
原始 POC 中添加了一些附加功能,以维护 OPSEC/尝试动摇静态签名以及利用后自动清理。C:ProgramDataMicrosoftWindowsWERReportArchive
目录中创建一个新文件夹。此文件夹将保存 Report.wer 文件,该文件必须作为漏洞利用链的一部分拖放到磁盘上。Filip 的原始漏洞创建了一个名为“MyFolder”的目录。通过查看 ReportArchive 目录中包含的真实文件夹/报告,我们可以更好地了解命名约定,从而更好地避开低挂检测。BOF 包含在计算机的 ReportArchive(其中一个被注释掉)目录中找到的两个真实文件夹的存根。在运行时,wer_lpe 将随机生成一个 GUID 并将其附加到选定的存根,以便创建一个可信的(并且统计上唯一的)文件夹,在其中创建 Report.wer 文件。report.wer 文件是另一个简单的静态指示器,通过它可以检测到此漏洞。原始漏洞将 Report.wer 文件打包为 EXE 中的资源;该 BOF 将从攻击机器上的漏洞利用目录中定位并读取“Report.wer”,并将其发送到 Beacon 以写入磁盘。这为用户用他们选择的任意文件替换预打包的 Report.wer 文件打开了大门。漏洞利用中的几个 COM 调用需要任意字符串才能继续利用;这些也已替换为运行时生成的随机字符串。由于此漏洞运行任意 EXE,如果您希望 EXE 连续运行(在运行新 Beacon 的情况下),清理可能会成为问题,因为 EXE 将被锁定在磁盘上。为了解决这个问题,Wer_lpe 实施了LloydLabs 创建的自我删除(我继续从中获得了惊人的里程)。Wer_lpe 将尝试删除/清理在利用过程中创建的所有文件和目录,并提供成功/失败的状态报告。笔记
因为尝试在 2023 年在目标计算机上运行未签名的任意 EXE 通常是徒劳的,所以我尝试让漏洞利用程序运行 REAL wemgr.exe(复制到任意目录中),以便利用 DLL 侧载机会。由于漏洞利用的性质,这是不可能的。请参阅此 Twitter 帖子了解更多详细信息。如果由具有计算机本地管理员权限的用户运行,此漏洞将失败;这是由于易受攻击的代码冒充用户(解释)“最高可用完整性”。对于本地管理员用户来说,这意味着他们的管理令牌将被模拟,该令牌具有与介质完整性令牌不同的 DOS 设备映射,而介质完整性令牌已实现触发漏洞所需的重定向。此漏洞不能替代 UAC 绕过。项目地址:
https://github.com/Octoberfest7/CVE-2023-36874_BOF
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客
还没有评论,来说两句吧...