EE 4GEE Mini本地提权漏洞(CVE-2018-14327)分析

前言

我在前段时间从买了一个4G调制解调器。这是一个便携式4G WiFi移动宽带调制解调器。有一天,我查看了安装在电脑上的用于故障排除的服务,我看到了一个奇怪的服务,名为“Alcatel OSPREY3_MINI Modem Device Helper”。我想知道这是个什么玩意,然后我想到这可能是我的EE 4G WiFi调制解调器。然后在谷歌上搜索了一会儿,这个调制解调器是阿尔卡特公司生产的。

然后出于好奇的角度查看了安装的服务,发现存在一个漏洞。

C:\>sc qc "Alcatel OSPREY3_MINI Modem Device Helper"
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: Alcatel OSPREY3_MINI Modem Device Helper
        TYPE               : 110  WIN32_OWN_PROCESS (interactive)
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Alcatel OSPREY3_MINI Modem Device Helper
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

但由于文件夹存在权限问题,您不能直接编写文件。我一开始以为这并不是问题。但是当我查看了“EE40”文件夹和W00t的文件夹权限!它被设置为“Everyone:(OI)(CI)(F)”,这意味着任何用户都可以在该文件夹中读写、执行、创建、删除任何内容,它是子文件夹。ACL规则具有OI对象继承和CI容器继承,这意味着该文件夹和子文件夹中的所有文件都具有相同的权限。

C:\Program Files (x86)\Web Connecton>icacls EE40
EE40 Everyone:(OI)(CI)(F)
     NT SERVICE\TrustedInstaller:(I)(F)
     NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
     NT AUTHORITY\SYSTEM:(I)(F)
     NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
     BUILTIN\Administrators:(I)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
     BUILTIN\Users:(I)(RX)
     BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
     CREATOR OWNER:(I)(OI)(CI)(IO)(F)
     APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
     APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
     APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
     APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files
C:\Program Files (x86)\Web Connecton>
C:\Program Files (x86)\Web Connecton>
C:\Program Files (x86)\Web Connecton>icacls EE40\BackgroundService
EE40\BackgroundService Everyone:(OI)(CI)(F)
                       Everyone:(I)(OI)(CI)(F)
                       NT SERVICE\TrustedInstaller:(I)(F)
                       NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                       NT AUTHORITY\SYSTEM:(I)(F)
                       NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                       BUILTIN\Administrators:(I)(F)
                       BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                       BUILTIN\Users:(I)(RX)
                       BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                       CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                       APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                       APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
                       APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
                       APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files

因为“ServiceManager。exe“是一个Windows服务可执行文件,通过植入一个同名的恶意程序"ServiceManager.exe"将导致执行二进制文件为“NT AUTHORITY\SYSTEM”,在Windows操作系统中授予最高权限。此漏洞可用于在本地Windows操作系统中升级特权。例如,攻击者可以从一个低权限的用户帐户中植入一个反向shell,通过重新启动计算机,恶意服务将作为“NT AUTHORITY\SYSTEM”启动,使攻击者可以完全系统地访问远程PC。

修复固件

易受攻击的软件版本为“EE400002.0044”:

在向EE报告了漏洞后,他们发布了一个补丁来更新调制解调器。按照以下步骤将调制解调器更新到最新的补丁。1.进入路由器的默认网关:http://192.168.1.12.单击“检查更新”文本以更新固件。更新后的补丁软件版本为“EE400002.0045”,从您的计算机中删除先前安装的软件。

手动修复洞

1. 在开始菜单或运行提示符中输入“regedit”,打开Windows注册表编辑器。2.前往以下路径:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper3. 向“ImagePath”值添加双引号:"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start"

这也可以用这种方式来做。您必须打开具有管理权限的CMD提示符并运行此命令。对于64-bit Windows:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f对于32-bit Windows:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f

手动修复文件夹权限

打开CMD提示符,转到Alcatel调制解调器服务的位置,然后输入以下命令。

cd “C:\Program Files\Web Connecton\”
icacls "EE40" /t /grant:r Everyone:(OI)(CI)R

披露时间表

05-07-2018: ZeroDayLab顾问(Osanda Malith Jayathissa)通过twitter向EE报告了这个问题05-07-2018:通过邮件向阿尔卡特汇报。12-07-2018: Osanda Malith Jayathissa联系MITRE。16-07-2018: CVE指定CVE-2018-14327。25-07-2018: EE通过电子邮件联系了Osanda Malith Jayathissa更多的技术细节。26-07-2018:致电Osanda Malith Jayathissa和EE进一步讨论漏洞。26-07-2018: EE确认补丁将在一周内上线。03-08-2018: Osanda Malith Jayathissa联系EE更新补丁,EE表示他们将在8月10日周五之前提供更多信息。10-08-2018: EE表示patch已经被推迟了,并且会通知Osanda Malith Jayathissa更新。23-08-2018: EE回复了一个补丁更新,供Osanda Malith Jayathissa核实。ZeroDayLab顾问证实了补丁的成功运行。03-09-2018: EE通知Osanda Malith Jayathissa说补丁已经发布。

*参考来源osandamalith,由周大涛编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Android源码框架分析

Android权限检查API checkSelfPermission失效问题为什么targetSdkVersion < 23 Context 的 checkSelfPermission失效target

5863
来自专栏信安之路

必知必会的安全工具

渗透测试中手工测试固然重要,但是测试工具也是必不可少的,一个好的工具可以让我们在渗透测试中事半功倍,俗话说,工欲善其事必先利其器,所以工具是很重要的,本文就主要...

1060
来自专栏乐沙弥的世界

Oracle数据恢复顾问(Data Recovery Advisor)

Oracle数据恢复顾问用于当数据发生错误或故障时,进行自动收集数据故障信息,并生成恢复脚本,用于完成数据恢复。数据恢复顾问也可以主动检查故障。 在这种模式下,...

762
来自专栏liulun

CEF C++环境搭建

第一步:下载CEF 到这里下载最新版本的CEF http://cefbuilds.com/ 下载解压之后,大概会看到如下图所示的文件 cefclien...

2707
来自专栏IT笔记

SpringBoot开发案例之微信小程序录音上传

书接上回的《SpringBoot开发案例之微信小程序文件上传》,正常的业务流程是,口语测评需要学生通过前端微信小程序录入一段音频,通过调用第三方音频处理服务商进...

8838
来自专栏移动端周边技术扩展

iOS打开系统功能对应的URL

1813
来自专栏杨建荣的学习笔记

探究AWR 第二篇(r3笔记第93天)

在探究awr第一篇中介绍了awr的一些基本操作 http://blog.itpub.net/23718752/viewspace-1123134/ 在这一篇中,...

3177
来自专栏Kotlin入门系列

win7基础 cmd 查看当前已经启动的服务列表

5086
来自专栏芋道源码1024

分布式作业系统 Elastic-Job-Lite 源码分析 —— 作业事件追踪

另外,Elastic-Job-Cloud 作业事件追踪 和 Elastic-Job-Lite 基本类似,不单独开一篇文章,记录在该文章里。如果你对 Elasti...

843
来自专栏蓝天

同时具备多线程和多进程安全的写日志工具

接口请浏览:https://github.com/eyjian/mooon/blob/master/mooon/include/mooon/sys/log.h ...

2354

扫码关注云+社区

领取腾讯云代金券