搜索
查看: 2685|回复: 0

CrowdStrike 发现 Windows x64 提权 0day (CVE-2014-4113)不喜欢(3)

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2014-10-18 17:49:43 | 显示全部楼层 |阅读模式
from:CVE-2014-4113

监测程序显示从WEBSHELL使用Win64.exe来提升权限

net localgroup administrators admin /add



net 命令已 Local System 权限执行:



随后分析Win64.exe二进制发现,它利用了一个0day 提权成SYSTEM用户,然后创建具有这些访问权限的新进程来运行参数中的命令。该文件本身只有55千字节大小,只包含几个功能:

1. 创建一个存储部分,存储一个将被内核调用的函数指针,触发该漏洞。
2. 利用窗口管理器的内存破坏漏洞,模拟用户交互调用回调函数。
3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。
4. 以SYSTEM权限执行第一个参数中的命令。

下图演示了如何在cmd当中提升权限:



该攻击代码写的非常好,成功率为100%。

该win64.exe工具只在需要的时候上传随后立刻删除。

Win64.exe的编译时间是2014年5月3日,该漏洞至少已经利用5个月了。

这个工具还有一个有意思的地方是,内部有一个字符串为“woqunimalegebi”



该漏洞影响所有Windows x64,包括Windows 7 和 Windows Server 2008 R2 及以下版本。

微软已经发布安全公告以及补丁MS14-058
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表