安全研究人員Marcus Murray在正在舊金山舉行的RSA大會上公布了一種利用惡意JPEG圖片入侵企業(yè)網(wǎng)絡(luò)內(nèi)部Windows服務(wù)器的新方法。

攻擊流程及漏洞分析

最近，安全專家兼滲透測試員Marcus Murray發(fā)現(xiàn)了一種利用惡意JPEG圖片來攻擊Windows服務(wù)器的新方法，利用該方法還可以在目標(biāo)網(wǎng)絡(luò)中進(jìn)行特權(quán)提升。幾天前，在舊金山舉行的RSA大會上(FreeBuf相關(guān)報道)，該Marcus現(xiàn)場展示了攻擊流程，他利用一個惡意JPEG圖片攻擊美國某政府機構(gòu)的服務(wù)器，該服務(wù)器上運行著一個含有漏洞的網(wǎng)站，并且網(wǎng)站開啟了圖片上傳服務(wù)。

Murray將活躍內(nèi)容注入到JPEG圖片的一個屬性字段中。一旦成功破壞目標(biāo)系統(tǒng)，他就可以提升權(quán)限并攻擊網(wǎng)絡(luò)中的域控制器。如果成功攻陷了域控制器，那么攻擊者就取得了整個企業(yè)網(wǎng)絡(luò)的控制權(quán)。例如，攻擊者可以安裝任何惡意軟件來監(jiān)視系統(tǒng)或竊取敏感數(shù)據(jù)。

在測試過程中，研究人員利用這種技術(shù)上傳一個遠(yuǎn)程訪問木馬(RAT)，該木馬基于流行滲透測試工具M(jìn)etasploit開發(fā)。此外，他還利用Windows服務(wù)器上運行的其他工具和編譯器來完成攻擊測試。

Murray解釋道：

“我將試著攻擊他們的web服務(wù)器，然后獲取他們的資源文件，最后攻擊域控制器。即使在復(fù)雜的環(huán)境中，控制了域控制器通常代表你已經(jīng)掌握了那家公司的整個基礎(chǔ)設(shè)施。這種說法是成立的，因為他們通常會使用Windows客戶端來連接公司的Linux服務(wù)器。從這個角度(獲得了域控制器的控制權(quán)之后)來說，我們可以做任何事，例如，可以上傳域管理工具并像管理自己的網(wǎng)絡(luò)一樣管理它。”

如果客戶端缺少必要的輸入驗證，那么就可以使用這種技術(shù)進(jìn)行攻擊。脆弱的上傳門戶使得攻擊者只需將文件擴展名修改為.jpg，就能上傳惡意可執(zhí)行內(nèi)容。包括Murray攻擊的那臺服務(wù)器在內(nèi)，這些存在漏洞的服務(wù)器并不是通過文件擴展名類型來驗證用戶提交的圖片，這意味著一旦上傳成功并進(jìn)行預(yù)覽，那么文件就會顯示之前插入活躍內(nèi)容字段的文本內(nèi)容，而并非是預(yù)想的圖像。

立即觀看POC視頻：https://player.vimeo.com/video/103938583