[[435247]]

在Windows中，有一個(gè)未修補(bǔ)的安全漏洞，該漏洞可能會(huì)允許普通用戶將本地權(quán)限提升到系統(tǒng)權(quán)限，但此時(shí)微軟并未將該漏洞完全解決，這時(shí)一個(gè)非官方的微補(bǔ)丁出現(xiàn)了。

該漏洞(CVE-2021-34484)最初是在微軟8月份的更新披露中發(fā)布的。當(dāng)時(shí)，它被研究人員歸類為一個(gè)任意目錄刪除漏洞，該漏洞由于是低優(yōu)先級(jí)的，因?yàn)楣粽咝枰诒镜氐卿浀侥繕?biāo)計(jì)算機(jī)后才可以利用它，從理論上講，這將允許攻擊者刪除文件和文件夾。

然而，發(fā)現(xiàn)該問題的安全研究員很快又發(fā)現(xiàn)，它也可以被用于權(quán)限升級(jí)攻擊，這是兩個(gè)完全不同的漏洞。系統(tǒng)級(jí)用戶可以訪問網(wǎng)絡(luò)中其他部分的資源、數(shù)據(jù)庫(kù)和服務(wù)器。

研究人員還看了看微軟的原始補(bǔ)丁，隨后通過對(duì)他的漏洞利用代碼進(jìn)行簡(jiǎn)單調(diào)整，找到了一個(gè)繞過補(bǔ)丁的方法，基本上可以將該漏洞恢復(fù)到零日狀態(tài)。

0Patch的研究人員在周四的文章中解釋說，該漏洞主要存在于用戶的配置文件服務(wù)中，特別是在用戶的原始配置文件因某種原因被損壞或鎖定時(shí)，很容易被攻擊者攻擊。將文件夾和文件從用戶的原始配置文件復(fù)制到臨時(shí)文件夾的過程(作為本地系統(tǒng)執(zhí)行)，可以通過符號(hào)鏈接進(jìn)行攻擊。在系統(tǒng)位置創(chuàng)建攻擊者有寫入權(quán)限的文件夾，隨后啟動(dòng)的系統(tǒng)進(jìn)程將會(huì)從該文件夾加載并執(zhí)行攻擊者的DLL。

該漏洞是可以被直接攻擊的。攻擊者將創(chuàng)建一個(gè)特制的符號(hào)鏈接(本質(zhì)上是一個(gè)指向特定文件或文件夾的快捷鏈接)，然后將其保存在臨時(shí)用戶配置文件的文件夾(C:\Users\TEMP)中。

然后，當(dāng)用戶配置文件服務(wù)從用戶的原始配置文件夾中復(fù)制一個(gè)文件夾時(shí)，符號(hào)鏈接將迫使它在攻擊者沒有權(quán)限創(chuàng)建文件夾的地方創(chuàng)建一個(gè)包含惡意DLL有效載荷的文件夾。

即使微軟認(rèn)為這個(gè)漏洞只是允許刪除一個(gè)文件名中含有'符號(hào)鏈接'的文件夾，但還是做了一個(gè)概念上的修復(fù)，它檢查了C:\Users\TEMP下的目標(biāo)文件夾是否是一個(gè)符號(hào)鏈接，如果是，就中止操作。正如研究人員所注意到的，這個(gè)修復(fù)措施的不合理性在于，符號(hào)鏈接不需要在最上層的文件夾中(微軟的修復(fù)檢查)，而是可以在目標(biāo)路徑上的任何文件夾中。

微軟發(fā)布的補(bǔ)丁通過調(diào)用 "GetFinalPathNameByHandle "函數(shù)，將符號(hào)鏈接的安全檢查擴(kuò)展到了整個(gè)目標(biāo)路徑，從而解決了這個(gè)問題。

應(yīng)該注意的是，對(duì)漏洞進(jìn)行一次完整的利用需要攻擊者能夠獲得無限次攻擊嘗試的條件，因?yàn)榇藭r(shí)系統(tǒng)將會(huì)同時(shí)執(zhí)行兩個(gè)操作(一個(gè)是惡意的，一個(gè)是合法的)。此外，盡管研究人員認(rèn)為不知道別人的密碼也有可能對(duì)該漏洞進(jìn)行利用，但到目前為止，如何獲得目標(biāo)計(jì)算機(jī)用戶的憑證仍然是一個(gè)難題。

該漏洞會(huì)影響到Windows 10(包括32位和64位)v21H1、v20H2、v2004和v1909版本;以及Windows Server 2019 64位。

微軟對(duì)此并沒有發(fā)布任何官方補(bǔ)丁發(fā)布的時(shí)間表，也沒有立即回應(yīng)評(píng)論。

本文翻譯自：https://threatpost.com/windows-10-privilege-escalation-zero-day-unofficial-fix/176313如若轉(zhuǎn)載，請(qǐng)注明原文地址。