CVE-2019-13142:雷蛇影音软件(Razer Surround)的权限提升漏洞
軟件版本:Razer Surround 1.1.63.0
操作系統(tǒng)版本:Windows 10 1803(x64)
漏洞說明:Razer Surround軟件中文件夾設(shè)置缺陷導(dǎo)致的權(quán)限提升
目的
我希望這篇文章能鼓勵更多的人加入漏洞研究這個看似很困難的領(lǐng)域。雖然這個漏洞的原理很簡單,但本文的主要目的是講述一些漏洞挖掘的方法。另外,我希望用這篇文章提醒大家,無論公司規(guī)模有多大,都一定存在脆弱面。
簡介
Razer Surround安裝了一個名為RzSurroundVadStreamingService的服務(wù),以SYSTEM權(quán)限運行。
此服務(wù)涉及的二進制文件為RzSurroundVADStreamingService.exe,在文件夾C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver下。
而此二進制文件能被惡意軟件所覆蓋替換,然后以SYSTEM權(quán)限運行,最終造成非法權(quán)限提升。
利用
在進行漏洞研究時,選擇一個恰當(dāng)?shù)哪繕?biāo)是很有必要的。如果你一開始選擇一個體積巨大的軟件,那么就很有可能產(chǎn)生畏難心理,你不知道從何入手,且會覺得這里面隱藏的漏洞肯定異常復(fù)雜。我想用這個漏洞作為一個例子,來說明在一個普通的軟件中尋找漏洞其實并不困難。
你可能會問,為什么是Razer?為何要瞄準(zhǔn)這個軟件?答案很簡單:我是Razer的粉絲,我買了不少Razer的產(chǎn)品。當(dāng)你每天大量使用同一個品牌的產(chǎn)品及其軟件時,你很難忍住研究它的沖動。
在挖掘漏洞時,我通常會進行一個常見的挖掘流程,每次都是如此。這個流程中包括分析目標(biāo)軟件所暴露的潛在攻擊面。我通常從基礎(chǔ)開始,根據(jù)需要進行動態(tài)/靜態(tài)分析。我最初通常尋找的是:
已安裝的服務(wù)(服務(wù)權(quán)限和服務(wù)路徑)
命名管道(及其ACL)
所涉及的文件和文件夾權(quán)限
網(wǎng)絡(luò)套接字
DCOM服務(wù)器和托管接口
在常用工具這一方面,我主要使用Process Monitor和James Forshaw’s NTob jectManager 。
在Razer Surround這個例子中,我首先通過查看進程列表檢查軟件的運行權(quán)限,發(fā)現(xiàn)RzSurroundVADStreamingService.exe是以SYSTEM權(quán)限運行的。下一步是找出這個進程是如何運行的。考慮到這個進程的名稱中包含“service”,我在powershell的命令行下使用Get-Service *Rz*命令來獲得所有包含Rz字符串的所有服務(wù)(也可以說是和Razer有關(guān)的所有服務(wù))。
從結(jié)果中我們可以篩選出它的ImagePath,也就是C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver\。
請注意,此時有趣的地方出現(xiàn)了。通過對文件夾的權(quán)限查詢,發(fā)現(xiàn)BUILTIN\Users對文件夾C:\ProgramData具有讀寫權(quán)限。
開發(fā)人員經(jīng)常犯的一個錯誤就是沒有鎖定在C:\ProgramData文件夾中創(chuàng)建任意子文件夾的權(quán)限。如果安裝程序只是簡單地在C:\ProgramData中創(chuàng)建一個文件夾,那么該文件夾和其任何子文件夾都將繼承C:\ProgramData的權(quán)限,比如普通用戶地完全讀寫權(quán)限。
在這種情況下,導(dǎo)致電腦上的“Everyone”都能完全控制C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver文件夾。
如之前所述,此路徑是二進制文件RzSurroundVADStreamingService 的ImagePath。如果任意權(quán)限的用戶對文件及包含它的文件夾具有“完全控制”權(quán)限,那么只要把RzSurroundVADstreamingService替換為惡意軟件即可:
一旦替換成功,重新啟動電腦,該惡意軟件將作為服務(wù)的一部分,以SYSTEM權(quán)限運行。在這個例子中,我們最終得到了一個SYSTEM權(quán)限的cmd命令行。
對于Razer來說,只要把這個二進制文件默認(rèn)放置于C:\Program Files (x86)\Razer文件夾即可修復(fù)此漏洞。
時間線
我們在發(fā)現(xiàn)這類漏洞后,會定期提交給廠商,和他們保持良好的聯(lián)系,確保受影響的用戶在短時間內(nèi)收到漏洞預(yù)警,進行軟件更新。
2019年3月20日-報告發(fā)送至Razer
2019年3月21日-收到Razer的確認(rèn)
2019年6月6日-就漏洞修復(fù)問題與Razer進行聯(lián)系
2019年6月10日-razer通知我,修復(fù)工作將在6月底開始
2019年7月1日-razer通知我,更新補丁將馬上發(fā)布
2019年7月5日-補丁發(fā)布
本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場:https://nosec.org/home/detail/2758.html 來源:https://posts.specterops.io/cve-2019-13142-razer-surround-1-1-63-0-eop-f18c52b8be0c總結(jié)
以上是生活随笔為你收集整理的CVE-2019-13142:雷蛇影音软件(Razer Surround)的权限提升漏洞的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: mysql数据库与access数据库连接
- 下一篇: 视频+全文|朱嘉明:大数据时代的危机与挑