新型漏洞利用链允许绕过Windows用户账户控制(UAC)

研究人员已将他们正在跟踪的弱点标记为 CVE-2024-6769,并将其称为 Windows 中的组合用户访问控制 (UAC) 绕过/权限提升漏洞。他们警告说,它可能允许经过身份验证的攻击者获得完整的系统权限。

这是根据 Fortra 的说法,Fortra 在通用漏洞评分系统 (CVSS) 量表上为该问题分配了 6.7 分(满分 10 分)的中等严重性评分。它的概念验证漏洞表明“您有能力关闭系统,”Fortra 安全研发副总监 Tyler Reguly 强调说。“驱动器上的某些位置可以写入和删除以前无法写入和删除的文件。”这包括 C:Windows,因此攻击者可以获得 SYSTEM 拥有的文件的所有权。

就其本身而言,Microsoft 承认了这项研究,但表示它不认为这是一个实际的漏洞,因为它属于其可接受性的概念,即拥有“不健壮”的安全边界。

了解 Windows 中的完整性级别

要了解 Fortra 的发现,我们必须回到 Windows Vista,当时 Microsoft 引入了强制完整性控制 (MIC) 模型。简而言之,MIC 为每个用户、进程和资源分配了一个访问级别,称为完整性级别。所有人都享有低完整性级别,经过身份验证的用户为中等,管理员为高完整性级别,而系统则只为最敏感和最强大的用户提供。

除了这些完整性级别之外,还有 UAC,这是一种安全机制,默认情况下,它在中等级别运行大多数进程和应用程序,并且需要显式权限才能执行任何需要更高权限的操作。通常,管理员级别的用户只需右键单击命令提示符并选择“以管理员身份运行”即可升级。

通过结合两种漏洞利用技术,Fortra 研究人员在他们的概念验证中展示了已经授权的用户如何通过该系统,跳过对中等完整性级别施加的安全边界以获得完整的管理权限,所有这些都不会触发 UAC。

使用 CVE-2024-6769 跨越用户边界

要利用 CVE-2024-6769,攻击者首先必须在目标系统中立足。这需要普通用户的中等完整性级别权限,并且触发攻击的帐户必须属于系统的管理组(如果不是因为 UAC 挡路,该帐户类型可以升级到管理员权限)。

攻击的第一步涉及将目标系统的根驱动器(例如“C:”)重新映射到其控制下的位置。这也将移动 “system32” 文件夹,许多服务都依赖该文件夹来加载关键系统文件。

其中一种服务是 CTF Loader ctfmon.exe,它在没有管理员权限的情况下以高完整性级别运行。如果攻击者在 copycat system32 文件夹中放置了一个特制的山寨 DLL,ctfmon.exe将加载它并以该高完整性级别执行攻击者的代码。

接下来,如果攻击者希望获得完全管理权限,他们可以毒害激活上下文缓存,Windows 使用该缓存加载特定版本的库。为此,他们在缓存中创建一个条目,指向攻击者生成的文件夹中的合法系统 DLL 的恶意版本。通过向客户端/服务器运行时子系统 (CSRSS) 服务器发送特制消息,伪造文件由具有管理员权限的进程加载,从而授予攻击者对系统的完全控制权。

Microsoft:不是漏洞

尽管存在权限提升的可能性,但 Microsoft 拒绝将此问题视为漏洞。在 Fortra 报告后,该公司通过指出 Microsoft Windows 安全服务标准的“非边界”部分作为回应,该部分概述了“某些 Windows 组件和配置明确不旨在提供强大的安全边界”。在相关的“Administrator to Kernel”部分下,它写道:

管理进程和用户被视为 Windows 可信计算基础 (TCB) 的一部分,因此与内核边界没有严格隔离。管理员可以控制设备的安全性,并可以禁用安全功能、卸载安全更新以及执行其他使内核隔离无效的操作。

从本质上讲,Reguly 解释说,“他们将 admin 到 system 的边界视为不存在的边界,因为 admin 在主机上是受信任的。换句话说,如果管理员用户最终可以执行相同的系统级操作,但需要 UAC 批准,则 Microsoft 不会将 CVE-2024-6769 视为漏洞。

在给 Dark Reading 的一份声明中,Microsoft 发言人强调,“该方法需要 Administrator 组的成员资格,因此所谓的技术只是利用不会跨越安全边界的预期权限或特权。

Reguly 和 Fortra 不同意 Microsoft 的观点。“当 UAC 推出时,我认为我们都相信 UAC 是一项出色的新安全功能,而 Microsoft 有修复安全功能旁路的历史,”他说。“因此,如果他们说这是一个可以跨越的信任边界,那么他们实际上是在对我说 UAC 不是一项安全功能。这是某种有用的机制,但实际上与安全无关。我认为这是一个非常强烈的哲学差异。

Windows 商店仍应提防 UAC 绕过风险

撇开哲学上的差异不谈,Reguly 强调,企业需要意识到允许低完整性管理员升级其权限以获得完全系统控制的风险。

在 CVE-2024-6769 漏洞利用结束时,攻击者将拥有完全控制权来操纵或删除关键系统文件、上传恶意软件、建立持久性、禁用安全功能、访问潜在的敏感数据等。

“值得庆幸的是,只有管理员会受到此影响,这意味着您的大多数标准用户都不会受到影响,”Fortra 在给记者的常见问题解答中指出。“对于管理员来说,确保您没有运行来源无法验证的二进制文件非常重要。然而,对于这些管理员来说,警惕是目前最好的防御措施。

千百度
© 版权声明
THE END
喜欢就支持一下吧
点赞304 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容