軟件版本：Razer Surround 1.1.63.0

操作系統(tǒng)版本：Windows 10 1803（x64）

漏洞說明：Razer Surround軟件中文件夾設(shè)置缺陷導(dǎo)致的權(quán)限提升

目的

我希望這篇文章能鼓勵更多的人加入漏洞研究這個看似很困難的領(lǐng)域。雖然這個漏洞的原理很簡單，但本文的主要目的是講述一些漏洞挖掘的方法。另外，我希望用這篇文章提醒大家，無論公司規(guī)模有多大，都一定存在脆弱面。

簡介

Razer Surround安裝了一個名為RzSurroundVadStreamingService的服務(wù)，以SYSTEM權(quán)限運(yùn)行。

此服務(wù)涉及的二進(jìn)制文件為RzSurroundVADStreamingService.exe，在文件夾C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver下。

而此二進(jìn)制文件能被惡意軟件所覆蓋替換，然后以SYSTEM權(quán)限運(yùn)行，最終造成非法權(quán)限提升。

利用

在進(jìn)行漏洞研究時，選擇一個恰當(dāng)?shù)哪繕?biāo)是很有必要的。如果你一開始選擇一個體積巨大的軟件，那么就很有可能產(chǎn)生畏難心理，你不知道從何入手，且會覺得這里面隱藏的漏洞肯定異常復(fù)雜。我想用這個漏洞作為一個例子，來說明在一個普通的軟件中尋找漏洞其實并不困難。

你可能會問，為什么是Razer？為何要瞄準(zhǔn)這個軟件？答案很簡單：我是Razer的粉絲，我買了不少Razer的產(chǎn)品。當(dāng)你每天大量使用同一個品牌的產(chǎn)品及其軟件時，你很難忍住研究它的沖動。

在挖掘漏洞時，我通常會進(jìn)行一個常見的挖掘流程，每次都是如此。這個流程中包括分析目標(biāo)軟件所暴露的潛在攻擊面。我通常從基礎(chǔ)開始，根據(jù)需要進(jìn)行動態(tài)/靜態(tài)分析。我最初通常尋找的是：

已安裝的服務(wù)（服務(wù)權(quán)限和服務(wù)路徑）

命名管道（及其ACL）

所涉及的文件和文件夾權(quán)限

網(wǎng)絡(luò)套接字

DCOM服務(wù)器和托管接口

在常用工具這一方面，我主要使用Process Monitor和James Forshaw’s NTob jectManager 。

在Razer Surround這個例子中，我首先通過查看進(jìn)程列表檢查軟件的運(yùn)行權(quán)限，發(fā)現(xiàn)RzSurroundVADStreamingService.exe是以SYSTEM權(quán)限運(yùn)行的。下一步是找出這個進(jìn)程是如何運(yùn)行的?？紤]到這個進(jìn)程的名稱中包含“service”，我在powershell的命令行下使用Get-Service *Rz*命令來獲得所有包含Rz字符串的所有服務(wù)（也可以說是和Razer有關(guān)的所有服務(wù)）。

從結(jié)果中我們可以篩選出它的ImagePath，也就是C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver\。

請注意，此時有趣的地方出現(xiàn)了。通過對文件夾的權(quán)限查詢，發(fā)現(xiàn)BUILTIN\Users對文件夾C:\ProgramData具有讀寫權(quán)限。

開發(fā)人員經(jīng)常犯的一個錯誤就是沒有鎖定在C:\ProgramData文件夾中創(chuàng)建任意子文件夾的權(quán)限。如果安裝程序只是簡單地在C:\ProgramData中創(chuàng)建一個文件夾，那么該文件夾和其任何子文件夾都將繼承C:\ProgramData的權(quán)限，比如普通用戶地完全讀寫權(quán)限。

在這種情況下，導(dǎo)致電腦上的“Everyone”都能完全控制C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver文件夾。

如之前所述，此路徑是二進(jìn)制文件RzSurroundVADStreamingService 的ImagePath。如果任意權(quán)限的用戶對文件及包含它的文件夾具有“完全控制”權(quán)限，那么只要把RzSurroundVADstreamingService替換為惡意軟件即可：

一旦替換成功，重新啟動電腦，該惡意軟件將作為服務(wù)的一部分，以SYSTEM權(quán)限運(yùn)行。在這個例子中，我們最終得到了一個SYSTEM權(quán)限的cmd命令行。

對于Razer來說，只要把這個二進(jìn)制文件默認(rèn)放置于C:\Program Files (x86)\Razer文件夾即可修復(fù)此漏洞。

時間線

我們在發(fā)現(xiàn)這類漏洞后，會定期提交給廠商，和他們保持良好的聯(lián)系，確保受影響的用戶在短時間內(nèi)收到漏洞預(yù)警，進(jìn)行軟件更新。

2019年3月20日-報告發(fā)送至Razer

2019年3月21日-收到Razer的確認(rèn)

2019年6月6日-就漏洞修復(fù)問題與Razer進(jìn)行聯(lián)系

2019年6月10日-razer通知我，修復(fù)工作將在6月底開始

2019年7月1日-razer通知我，更新補(bǔ)丁將馬上發(fā)布

2019年7月5日-補(bǔ)丁發(fā)布

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場：https://nosec.org/home/detail/2758.html 來源：https://posts.specterops.io/cve-2019-13142-razer-surround-1-1-63-0-eop-f18c52b8be0c

總結(jié)

以上是生活随笔為你收集整理的CVE-2019-13142:雷蛇影音软件（Razer Surround）的权限提升漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。