前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >CVE-2019-0948:Microsoft Management Console (MMC)漏洞

CVE-2019-0948:Microsoft Management Console (MMC)漏洞

作者头像
C4rpeDime
发布2022-04-26 08:06:27
6370
发布2022-04-26 08:06:27
举报
文章被收录于专栏:黑白安全

Microsoft Management Console (MMC)是微软管理控制台,是一个专门用于管理的控制台。其设计主要用于为Windows管理员提供一个统一的、规范的管理接口和操作平台。近期,Check Point Research研究人员在控制台中发现了多个允许攻击者传输恶意payload的漏洞。漏洞CVE编号为CVE-2019-0948,微软已于6

Microsoft Management Console (MMC)是微软管理控制台,是一个专门用于管理的控制台。其设计主要用于为windows管理员提供一个统一的、规范的管理接口和操作平台。

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第1张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第1张

近期,Check Point Research研究人员在控制台中发现了多个允许攻击者传输恶意Payload的漏洞。漏洞CVE编号为CVE-2019-0948,微软已于6月11日发布的补丁中进行了修复。

漏洞描述

错误配置的WebView导致的多个XSS漏洞

MMC有一个集成的Snap-In组件中含有ActiveX控制、Link to Web Address等多种机制。

  1. 攻击者选择Link to Web Address snap-in后,就科研插入一个url到该服务器中,服务器中含有一个含有恶意payload的html页。 受害者打开恶意.msc文件后,就会打开一个web-view,恶意payload就会执行。 研究人员成功地插入了含有恶意payload的恶意URL链接,该恶意payload可以重定向到SMB服务器可以获取用户的NTLM哈希值。 还可以通过前面提到的web-view来在受害者主机上执行VBS脚本。
  2. 攻击者选择ActiveX Control snap-in(所有ActiveX controls都受到该漏洞影响)并保存到文件.msc中。在文件.msc的StringsTables部分,攻击者可以修改第三个字符串的值为攻击者控制的恶意URL,其中含有一个含有恶意payload的html页面。研究人员成功地插入含有恶意payload的恶意URL,恶意payload可以重定向到SMB服务器,并获取用户NTLM哈希值。 还可能通过前面提到的web-view在受害者机器上执行VBS脚本。 受害者打开恶意.msc文件后,就会在MMC窗口中打开一个web-view并执行恶意payload。

错误配置的XML parser产生的XXE漏洞

受害者打开MMC并选择event viewer snap-in,点击Action,然后点击Import Custom View。一旦含有XXE payload的恶意XML被选择,任何从受害者主机处发送的文件都会发给攻击者。这是由于MMC定制视图功能中定义的错误配置的XML parser造成的。

PoC

Link to Web Address snap-in Cross-Site Scripting (XSS):

攻击者加入新的snap-in:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第2张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第2张

受害者选择Link to Web Address snap in:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第3张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第3张

然后攻击者在path处输入含有恶意payload的服务器地址:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第4张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第4张

攻击者保存.msc文件并发送给受害者:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第5张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第5张

恶意.msc文件含有到攻击者服务器的路径:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第6张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第6张

受害者打开恶意.msc文件,vbs代码就会执行:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第7张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第7张

ActiveX Control snap-ins

以Adobe Acrobat DC Browser example为例:

攻击者添加新的 snap-in:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第8张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第8张

攻击者选择ActiveX Control snap-in:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第9张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第9张

选择ActiveX Control机制,以Adobe Acrobat DC Browser为例:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第10张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第10张

攻击者保存.msc文件并发送给受害者:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第11张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第11张

含有到攻击者服务器的路径的.msc文件:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第12张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第12张

受害者打开恶意.msc文件后,VBS代码就会执行:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第13张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第13张

错误配置的XML Parser导致的XXE漏洞:

添加新的snap-in:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第14张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第14张

攻击者选择event viewer snap-in:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第15张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第15张

受害者选择Action,然后点击Import Custom View选项:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第16张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第16张

受害者选择攻击者发送的恶意XML:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第17张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第17张

含有XXE payload的恶意XML会读取c:\Windows\win.ini文件内容,并通过HTTP/GET请求发送给远程服务器:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第18张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第18张

反过来调用xml.dtd:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第19张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第19张

期望的文件内容会从客户端console应用发送到远程服务器:

CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第20张
CVE 2019 0948:Microsoft Management Console (MMC)漏洞 漏洞 Microsoft Management Console (MMC) CVE 2019 0948 漏洞分析 第20张

原文:https://research.checkpoint.com/microsoft-management-console-mmc-vulnerabilities/

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2019-06-24),如有侵权请联系 cloudcommunity@tencent.com 删除
网络安全
安全
xml
网站

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

网络安全
安全
xml
网站
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 漏洞描述
    • 错误配置的WebView导致的多个XSS漏洞
      • 错误配置的XML parser产生的XXE漏洞
      • PoC
        • Link to Web Address snap-in Cross-Site Scripting (XSS):
          • ActiveX Control snap-ins
            • 错误配置的XML Parser导致的XXE漏洞:
            领券

            腾讯云开发者

            扫码关注腾讯云开发者

            扫码关注腾讯云开发者

            领取腾讯云代金券

            热门产品

            热门推荐

            更多推荐

            Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

            深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

            腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

            Copyright © 2013 - 2024 Tencent Cloud.

            All Rights Reserved. 腾讯云 版权所有

            登录 后参与评论