【小編提醒】本文部分內(nèi)容來源網(wǎng)絡(luò)，僅供參考！如需了解“賽門鐵克(symantec)曝出任意代碼執(zhí)行漏洞，可冒用簽名執(zhí)行，白名單繞過以及提權(quán)”等有關(guān)服務(wù)器、云主機(jī)租用、托管、配置、價(jià)格問題，請(qǐng)?jiān)诰€咨詢YINGSOO客服，享受1v1貼心服務(wù)！

　　【境外主機(jī)】加拿大云服務(wù)器特價(jià) | 泰國云服務(wù)器特價(jià) | 香港物理服務(wù)器特價(jià)

　　【優(yōu)質(zhì)文章】德國服務(wù)器好用嗎？德國服務(wù)器否適合部署歐洲網(wǎng)游

　　賽門鐵克(symantec)集團(tuán)是世界上最大的安全公司，不過近日曝出任意代碼執(zhí)行漏洞，可冒用簽名執(zhí)行，白名單繞過以及提權(quán)。

　　#介紹

　　safebreach 實(shí)驗(yàn)室發(fā)現(xiàn)了賽門鐵克終端安全這個(gè)漏洞（symantec endpoint protection）（cVe-2019-12758）

　　利用這個(gè)漏洞，可以繞過賽門鐵克的自我防護(hù)機(jī)制，還能實(shí)現(xiàn)防御規(guī)避、維持權(quán)限以及提權(quán)。方法是通過加載任意未簽名的dll到賽門鐵克簽名運(yùn)行的進(jìn)程里面（這個(gè)進(jìn)程是以nt AUtHoRitY\sYstem權(quán)限運(yùn)行）。

　　注：為了利用這個(gè)漏洞，攻擊者需要有管理員權(quán)限。

　　#賽門鐵克終端安全（symantec endpoint protection）

　　賽門鐵克終端安全是指一組安全軟件套件，包括服務(wù)器版本以及桌面電腦版本，組成功能模塊部分包括反病毒、入侵防護(hù)以及防火墻。由賽門鐵克公司開發(fā)并在終端安全市場(chǎng)中擁有最大的市場(chǎng)份額。

　　這個(gè)軟件中的很多部分都是以windows服務(wù)的形式運(yùn)行，這些服務(wù)以"nt AUtHoRitY\sYstem"權(quán)限運(yùn)行，這給程序提供了非常強(qiáng)力的權(quán)限支持。

　　在這篇文章，我們先描述上述的漏洞，然后展示如何利用這個(gè)漏洞在賽門鐵克服務(wù)上下文里，達(dá)成執(zhí)行任意命令的效果，以獲得“nt AUtHoRitY\sYstem”最高級(jí)別權(quán)限的訪問權(quán)。

　　#漏洞

　　發(fā)現(xiàn)

　　在探索中，我們發(fā)現(xiàn)賽門鐵克終端安全的一個(gè)服務(wù)（sepmasterservice），是以“nt AUtHoRitY\sYstem”權(quán)限啟動(dòng)一個(gè)單獨(dú)的進(jìn)程，這個(gè)進(jìn)程會(huì)嘗試加載一個(gè)不存在的dll，這個(gè)dll的位于：

　　c:\windows\syswow64\wbem\dspARse.dll

　　如果能證明可以讓我們的東西被加載進(jìn)這個(gè)進(jìn)程，我們就可以繞過賽門鐵克反病毒程序的自我防護(hù)機(jī)制。主要是因?yàn)橘愰T鐵克終端安全程序所在的目錄受mini-filter文件系統(tǒng)驅(qū)動(dòng)程序保護(hù)，會(huì)嚴(yán)格限制對(duì)其寫操作，即便是管理員也不例外。

　　這就意味著，即便我們是Administrator，想要簡(jiǎn)單地植入一個(gè)不存在的dll到賽門鐵克的進(jìn)程里面，也是不現(xiàn)實(shí)的。

　　poc展示

　　為了測(cè)試這個(gè)漏洞，我們從dsparse.dll 里編譯出一個(gè)32位的代理dLL（未簽名的，代理dLL的意思是可以加載其它任意dLL）文件，dsparse.dll 實(shí)質(zhì)上是位于syswow64 目錄，而不是 syswow64\wbem目錄下面。編譯出的dll，它功能是把下面的東西寫到一個(gè)txt文件里面：

　　1.加載這個(gè)dll的進(jìn)程名

　　2.執(zhí)行這個(gè)dll的用戶名

　　3.dll的文件名

　　然后我們把這個(gè)dll移植到 c:\windows\syswow64\wbem目錄，然后重啟電腦。

　　此時(shí)，我們可以加載進(jìn)一個(gè)任意的代理dLL（代理dLL可以加載其它任意dLL）進(jìn)來了，然后在一個(gè)服務(wù)進(jìn)程里面執(zhí)行我們的代碼，這個(gè)服務(wù)進(jìn)程是賽門鐵克集團(tuán)簽名的，而且運(yùn)行權(quán)限是nt AUtHoRitY\sYstem，最終的結(jié)果是，繞過了賽門鐵克的自我保護(hù)機(jī)制。

　　#根本原因分析

　　有很多模塊里的很多文件導(dǎo)致了這個(gè)漏洞，在這里就只分析其中的一個(gè)，因?yàn)閱栴}的根源往往都是雷同的。

　　當(dāng) “symantec endpoint protection” 服務(wù)器進(jìn)程(ccsvcHst.exe) 啟動(dòng)的時(shí)候，它就會(huì)嘗試用 iwbemservices com接口的一個(gè)函數(shù)去執(zhí)行一個(gè)wmi查詢。這個(gè)com接口名為：

　　(iwbemservices::execnotificationQueryAsync):

　　用oleViewdotnet（https://github.com/tyranid/oleviewdotnet）快速查看一下，可以看到，這個(gè)com接口（和它的函數(shù)）是被設(shè)計(jì)用來使用這個(gè)com代理dLL中的庫“c:\windows\syswow64\wbem\fastprox.dll” （在我們的例子里，它是一個(gè)wow64進(jìn)程）

　　當(dāng)fastprox.dll庫里的execnotificationQueryAsync函數(shù)被調(diào)用之后，dscrackspnw 函數(shù)也會(huì)隨之被調(diào)用。

　　我們可以看到，這個(gè)函數(shù)正是可以從dsparse.dll導(dǎo)入的，這會(huì)導(dǎo)致賽門鐵克的那個(gè)服務(wù)進(jìn)程嘗試加載這個(gè)dll。

　　關(guān)于這個(gè)漏洞，有兩個(gè)根本原因

　　1.沒有針對(duì)二進(jìn)制文件檢查其數(shù)字簽名。這個(gè)程序沒有驗(yàn)證加載的dLL是否已經(jīng)簽名（這個(gè)功能可以用 winVerifytrust函數(shù)實(shí)現(xiàn)）。因?yàn)?，它可以加載任意的未簽名的dLL。

　　2.fastprox.dll 庫嘗試從它當(dāng)前的運(yùn)行美國服務(wù)器目錄加載dsparse.dll文件，這就是c:\windows\syswow64\wbem目錄，而實(shí)質(zhì)上文件就是存在syswow64 目錄。

　　#潛在的惡意使用和影響

　　下面我們展示三個(gè)攻擊者可能濫用的用途

　　防御規(guī)避，冒用簽名執(zhí)行，白名單繞過

　　這個(gè)漏洞給攻擊者一個(gè)別樣的能力，允許在賽門鐵克的簽名進(jìn)程上下文里加載和執(zhí)行惡意payloa。這個(gè)攻擊能力可能會(huì)被攻擊者用在各種目的的行動(dòng)中，例如防御規(guī)避。舉個(gè)例子，應(yīng)用白名單繞過。這反病毒程序可能并不能檢測(cè)到攻擊者的二進(jìn)制代碼，因?yàn)檫@些程序已經(jīng)在對(duì)它不進(jìn)行任何驗(yàn)證就加載進(jìn)來了。

　?。ê箝T）持久化機(jī)制

　　這個(gè)漏洞給攻擊者新的能力，允許他們以一種持久化的方式加載和執(zhí)行惡意payload。每一次這個(gè)服務(wù)啟動(dòng)時(shí)就被加載進(jìn)來。這就意味著當(dāng)攻擊者丟一個(gè)惡意dll進(jìn)來，這些服務(wù)就會(huì)在每次啟動(dòng)時(shí)將它們加載進(jìn)來。

　　提權(quán)

　　這些服務(wù)給攻擊者一個(gè)提權(quán)的機(jī)會(huì)，可至windows系統(tǒng)最高權(quán)限nt AUtHoRitY\sYstem

　　#影響版本：

　　賽門鐵克（symantec endpoint protection）14.2 RU2 之前的所有版本。

　　YINGSOO有著經(jīng)驗(yàn)豐富的技術(shù)團(tuán)隊(duì)和完善的售后支持，客服人員全年無休，7*24小時(shí)全天候待命，只要您有需求和疑問，客服能在最短的時(shí)間內(nèi)答復(fù)您，不會(huì)讓您長(zhǎng)時(shí)間等待。全國統(tǒng)一服務(wù)熱線：400-630-3752

　　熱門文章：【函數(shù)迭代】【服務(wù)器租用】【鏡像安裝】【選擇數(shù)據(jù)庫】【索引語句】【麒麟被動(dòng)】【篩選網(wǎng)站】【重啟服務(wù)器】【網(wǎng)頁語句】【分區(qū)歸檔】【聯(lián)接寫法】【代碼字體】【恢復(fù)文件】【重啟服務(wù)器】【企業(yè)網(wǎng)站關(guān)鍵詞】【屬性邊框】【登錄服務(wù)器】【首發(fā)英偉】【服務(wù)器中小企業(yè)】【笛卡爾匹配】【文件目錄】【調(diào)度循環(huán)】【卷積數(shù)據(jù)】【網(wǎng)站服務(wù)器速度】【美國帶寬】【俄羅斯查看】【工具集群】【進(jìn)程殺死】【命令行安裝】【獲取系統(tǒng)】

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。