Demo Exploit Code disponible para el error de escalada de privilegios en Windows

Iniciado por AXCESS, Abril 10, 2019, 04:19:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El código del Xploit, de prueba de concepto, para una vulnerabilidad de escalada de privilegios que afecta al sistema operativo Windows, se ha publicado hoy, poco después de que Microsoft lanzó su lote mensual de parches de seguridad.

Ahora, rastreada como CVE-2019-0841, la vulnerabilidad consiste en el manejo incorrecto de los links "duros" por parte del Servicio de Implementación de AppX (AppXSVC) utilizado para iniciar las aplicaciones de Windows, instalarlas y desinstalarlas.
Un atacante con bajos privilegios en el sistema podría usar este error para ejecutar procesos con permisos incrementados (escalados) en Windows 10, Windows Server 2019 e instalación Core.

Microsoft podría instalar programas o modificar los datos en el sistema afectado, dice Microsoft en un aviso hoy.

Nabeel Ahmed, de Dimension Data, es uno de los investigadores de seguridad que descubrió e informó de la falla a Microsoft. Como los parches están ahora disponibles, él comparte los detalles técnicos en una publicación de blog de hoy, junto con el código de Xploit de demostración (PoC).

Al observar cómo se manejan los archivos de configuración 'settings.dat' para los paquetes de aplicaciones de Windows, el investigador pudo engañar al sistema operativo para que otorgue, a un usuario con privilegios bajos, los permisos de control total para casi cualquier archivo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahmed explica que escribir en los archivos de configuración, de la aplicación de Windows, es posible para la cuenta que los posee, NT AUTHORITY \ SYSTEM, que tiene privilegios más potentes que los de un administrador.

Algunas verificaciones básicas de integridad se ejecutan antes de que se inicie una aplicación de Windows, que incluye verificar los permisos de los archivos y leer el contenido del archivo. Si está dañado, el archivo se elimina y la configuración se restablece desde un archivo de plantilla.

El Xploit de Ahmed aprovecha el hecho de que los permisos en un link "duro", se propagan al archivo, al que hace referencia.

Para demostrar su descubrimiento, el investigador usó el archivo de configuración de Microsoft Edge en el contexto de un usuario normal para obtener derechos de control total sobre el archivo 'hosts', que pueden ser modificados por usuarios con privilegios más altos, como administradores y SYSTEM.

1.   El Xploit primero verifica si el archivo de destino existe, si lo hace, verificará sus permisos. Dado que estamos utilizando Microsoft Edge para esta vulnerabilidad, matará a Microsoft Edge para poder acceder al archivo settings.dat.

2.   Después de eliminar Microsoft Edge, buscará el archivo "setting.dat" y lo eliminará para crear un enlace físico al archivo específico solicitado (en nuestro caso, ese fue el archivo HOSTS)

3.   Una vez que se crea un enlace físico, se vuelve a encender Microsoft Edge para desencadenar la vulnerabilidad. Concluyendo con una verificación final si efectivamente los permisos de "Control total" se han establecido para el usuario actual.

El investigador señala que algunas condiciones previas son necesarias para que el Xploit funcione:

• NT AUTHORITY \ SYSTEM debe tener control total sobre el archivo de destino

• El usuario con privilegios bajos o el grupo de Usuarios del que forma parte debe tener permisos de "Lectura / Ejecución"

• Los derechos de "Lectura / Ejecución" deben ser heredados

Microsoft dice que hay pocas posibilidades de que esta vulnerabilidad sea explotada, incluso en sistemas no parcheados. Sin embargo, el código de explotación de la versión parcial de programa ahora está disponible y podría incorporarse en un escenario de caso extremo.

Link del código:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El investigador también publicó un video que muestra cómo un atacante puede usar el Servicio de actualización de Google Chrome para obtener privilegios elevados en el sistema:



Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Info Extra sobre Link "Duros" o Hard Links:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

[/size]
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta