提供一個0day(CVE)挖掘思路(可能)

語言: CN / TW / HK

01

最近在Twitter看到國外黑闊jonhat披露的雷蛇的0day漏洞,該漏洞只要接入雷蛇的滑鼠或鍵盤等外設安裝驅動就能直接提權到system許可權。原文在這裡: https://twitter.com/j0nh4t/status/1429049506021138437

剛好我用的就是雷蛇滑鼠,趕緊復現一波(復現視訊可以去twitter看原版)。

先在插上一個新的雷蛇裝置,或者刪除老驅動後再插入,等安裝好基本驅動後,會自動彈出安裝Razer Synapse(雷雲)的安裝嚮導,然後再選擇安裝位置時,可以新建一個terminal,新建的這個terminal就是system許可權。

img

img

img

img

是不是很簡單!是不是有手就行!

img

img

簡單分析下漏洞原理,這類外設或其他I/O裝置,連線到電腦上時都會有一個驅動安裝過程,只是現在都簡化了,都是即插即用型,使用者感覺不到安裝過程。而驅動級的程式安裝與執行都是system許可權的,正常過程使用者是無法利用的,而雷蛇這個雷雲軟體,在安裝好基本驅動後自動拉起,直接使用的就是驅動程式的system許可權,所以造成了提權。這個漏洞雷蛇這邊肯定是有大問題,但是微軟這邊對這類驅動程式的許可權控制有沒有問題還是已經在他們某個條款裡寫到過了就不得而知了。

然後說到今天這個標題,說我是不是標題黨。其實在看這個Twitter下面老哥聊天的時候,有人說很近已經就上報給雷蛇過了,一直沒修。還有人說其他廠商的裝置也有過同樣的問題。想想這類裝置是挺容易出現這種問題的,老哥們可以去看看自己家的其他外設,是不是也有同樣的軟體安裝過程,是不是下一個0day或者CVE就在等你。

題外話

當時看到這個復現過程時,我就發現這個提權方法不就是我一在公司電腦上早就用過的嗎。別人一下就能挖到0day,我用了這麼久也沒想過去挖別家的漏洞,還是我太菜了。

img

再來說說我是怎麼在公司電腦上進行騷操作提權安全研究的。應該大部分公司給員工的電腦有進行加域或者標裝過的,都是普通使用者許可權,而且多多少少都裝了各種EDR,DLP之類的,不好做一些騷操作安全研究。 這裡還有一個前提,就是桌管即桌面管家,也可以說軟管即軟體管家,就是公司內部管理軟體安裝的系統,有些公司使用了成熟的商用桌管,統一管理軟體安裝,使用者只能選擇安裝和解除安裝,其他過程無法參與。也有部分公司使用的是自制的軟管,原理就是安裝過程在本地啟一個臨時administrator許可權,安裝完成之後關閉。這個過程使用的可能是指令碼,小工具,原理都差不多。像我在的公司使用的是一個叫lsrunase的工具,好像挺老的一個工具,原始來源我也沒找到,感興趣的老哥可以去研究研究,這個工具的原理也是一樣。

首先是一個域內普通使用者許可權,大部分軟體都沒有安裝許可權,部分軟體可以使用者許可權安裝執行,先不討論。

img

再在統一軟管或者其他內部安裝軟體的方式,找一個軟體進行安裝。在安裝過程中,選擇安裝資料夾的過程中,可以新建一個terminal,此時這個terminal就是administrator許可權。最低也是本地administrator許可權,也可以是system許可權,甚至域管許可權。如果只是本地administrator許可權也有辦法提權到system,下次再討論。

img

img

老哥們在公司電腦上測試的時候,一定要注意相關安全規定,不要被安全部同事逮住了。什麼,我就是安全部的人,那沒事了。 不說了,挖洞去了。 該文章來源於火線zone社群:https://zone.huoxian.cn/d/454-0daycve