CVE-2019-0841 DACL权限覆盖本地提权漏洞攻击分析

风流

发布于 2019-12-11 11:04:51

9970

发布于 2019-12-11 11:04:51

本文首发绿盟科技技术博客，作者：Urahara、dev2null

0x00 前言

近日国外的研究员Nabeel Ahmed纰漏了CVE-2019-0841的漏洞细节，该漏洞成功利用会使低权限用户获取到目标文件的“完全控制”权限，红队人员配合dll劫持等其他攻击技术可完成提权到NT Authority/SYSTEM及后门攻击。微软认为该漏洞是由Windows AppX 部署服务(AppXSVC)没有正确处理硬链接导致的，实质上是由于Windows系统的三个特性组合完成的利用，绿盟科技M01N红队对该漏洞原理和利用进行详细分析。

0x01 相关概念

DACL (Discretionary Access Control List)是 ACE (Access Control Entries)的集合。ACE访问控制条目定义了谁能对某个对象做什么（如读/写等操作）:

硬链接Hard link是一种针对文件的特殊快捷方式，不占用系统空间，但目标文件必须在同一个驱动器内，且数据会同步（修改一个文件的内容，其他链接文件内容也会被修改）。

0x02 漏洞原理

所有的Windows应用的用户配置都位于C:\Users<username>\AppData\Local\Packages<Packagename>目录下，每个应用都有一个名为settings.dat的注册表文件，通过加载配置单元可以看到配置内容：

该文件用于追踪应用的注册表设置。NT Authority/SYSTEM使用该文件修改应用配置，而作为普通用户也拥有完全控制的访问权限：

这里以系统默认安装的Edge浏览器进行举例，打开Edge浏览器后，settings.dat文件会被NT Authority/SYSTEM访问，首先会对文件的权限进行检查，如果权限错误，就会修复文件权限。然后SYSTEM会读取文件内容，若内容已损坏，则会删除该文件，同时通过复制位于C:\WIndows\System32目录下的settings.dat模版文件重置应用配置。之后，获取新文件的拍他锁（Exclusive lock）以防止其他的进程在应用运行时访问该文件。

这些行为大部分都是以用户身份进行的，因为当前用户也拥有完全控制的访问权限。如果我们能够将该注册表文件设置为目标文件的硬链接，我们便不再拥有对该配置文件的完全控制权，因为此时该硬链接文件已经变成了是目标文件的访问权限属性。SYSTEM在检查该文件权限时会修复当前的权限错误(给当前用户完全控制的访问权限)，而对该配置文件的属性修改会传递到目标文件上，也就是说，SYSTEM为我们配置了对目标文件的完全控制权。

0x03 漏洞分析

下图为networks文件属性，当前普通用户只具有读取与执行的权限，而SYSTEM具有完全控制权：

使用系统内置命令mklink为networks文件设置硬链接，并将该链接文件设为Edge浏览器的注册表配置文件settings.dat：

可以看到，该操作被拒绝访问了。在事件属性Desired Access中我们可以看到，程序希望获得对networks文件写属性（Write Attributes）和同步（Synchronize）的访问权限。

下面使用GoogleProjectZero的符号链接测试工具集中的硬链接创建文件进行操作：

同样在事件属性Desired Access中可以看到，这次程序希望获得对networks文件的最大可允许访问权限（Maximum Allowed），并成功通过SetLinkInformation操作设置了硬链接。

根据Project Zero博客中的描述，mklink进行创建硬链接操作时，请求的是FILE_WRITE_ATTRIBUTE权限：

而他们发现，在打开链接文件时即使不去请求写权限，仍然能完成硬链接的创建，因此可以自行调用系统API实现硬链接创建：

在创建硬链接后启动Edge浏览器。Edge可以读取settings.dat文件内容，但是当它请求进行写操作时，被拒绝访问了，因为此时该文件为hosts文件的硬链接，而当前低权限用户并不具有对networks文件的完全控制/修改权限。此时，SYSTEM为当前用户配置该文件的读写等权限(因为当前用户本应具有对该settings.dat文件的完全控制权)：

SYSTEM读取该文件后发现内容已损坏（因为此时它的内容是hosts文件内容，而不是注册表文件的内容），删除文件并复制该文件的模版到该目录下以还原此配置。

此时可以发现SYSTEM对此前的硬链接文件的权限进行修改后，权限配置已经被传递到了networks文件，当前用户已经具有对该文件的完全控制权：

利用该思路，攻击者可以通过修改一些可被利用的dll文件的权限，从而篡改文件内容，当程序使用高权限调用该dll时便能执行攻击者的代码内容，从而完全权限提升。

0x04 利用条件

因为是使用SYSTEM身份对文件权限进行修改的，所有SYSTEM必须对目标文件具有完全控制的访问权限；
低权限用户/组必须拥有读取/执行的权限，且该权限应该可以被继承。如果用户对目标文件的权限没有启用继承，系统配置settings.dat文件权限时则无法利用硬链接将权限传递/继承到目标文件上。如下图所示，test用户对networks文件的完全控制访问权限实际上是继承于对父对象即settings.dat文件的访问权限：

0x05 漏洞总结

该漏洞的核心思想总结为利用了以下三点Windows的相关特性：

系统默认安装应用在启动时，会使用SYSTEM权限检查应用的settings.bat配置文件，包括文件权限、完整性等，在文件权限错误时会对其进行权限修改
系统创建硬链接命令mklink需要对目标文件拥有写权限，但写权限是完成该操作的非必要条件，可以通过调用系统API自行实现代码完成硬链接创建
由于目标文件默认开启继承关系，当给创建的硬链接文件赋权时，父对象文件也同样会获得权限

0x06 攻击利用

通过该漏洞我们可以获取系统可信目录文件的完全控制权限，通过对文件内容的篡改结合dll劫持等方式可完成提权或后门攻击的目的。比如我们可以通过该漏洞进行权限覆盖获取“完全控制”权限并篡改dll文件，Chrome浏览器升级功能googleupdate服务会以system权限运行并调用加载该dll文件，最终攻击者的恶意代码将被执行，完成提权后门攻击。