Win10存在当地提权0day漏洞

宣布时间 2018-08-30

一、漏洞描述

2018年8月27日，宁静研究人员在Twitter上披露了Windows 10系统中的一个0day漏洞。该漏洞是一个当地提权漏洞，存在于Windows的任务调治服务中，允许攻击者从USER权限提权到SYSTEM权限。微软官方目前还没有提供相应的补丁。

二、漏洞影响范围

Windows 10

Windows Server 2016

三、漏洞分析

Microsoft Windows系统的任务调治服务中高级当地过程调用（ALPC）接口存在当地提权漏洞，该漏洞存在于schedsvc.dll�？橹械腟chRpcSetSecurity函数，SchRpcSetSecurity函数界说如下，函数功效是设置宁静描述符。

HRESULT SchRpcSetSecurity(

[in, string] const wchar_t* path,

[in, string] const wchar_t* sddl,

[in] DWORD flags

);

SchRpcSetSecurity第一个参数为路径path，第二个参数为宁静描述符界说语言 (SDDL) 字符串sddl，该函数内部调用了SetSecurity::RpcServer函数。

SetSecurity::RpcServer函数首先调用ConvertStringSecurityDescriptorToSecurityDescriptor 将SchRpcSetSecurity函数传入的sddl字符串转换为宁静描述符SecurityDescriptor。并调用TaskPathCanonicalize函数对传入path参数路径规范化为Dst。

然后获取Dst路径的JobSecurity宁静描述符pSecurityDescriptor，继而调用JobSecurity::Update函数，传入SecurityDescriptor参数，更新pSecurityDescriptor。

最后，调用JobSecurity::AddRemovePrincipalAce函数设置DACL。

那么如何修改指定目标文件的DACL属性呢？首先，使用ZwSetInformationFile函数为目标文件创建硬链接。然后，调用_SchRpcSetSecurity函数设置硬链接文件的DACL，等同于修改目标文件的DACL。通过设置SchRpcSetSecurity的第3个参数，可以为用户Administrators(BA)、Authenticated Users（AU）添加对硬链接文件的写入权限。

以PrintConfig.dll文件为例，调用SchRpcSetSecurity函数前，文件访问权限如下，此时Administrators不具有对文件的写入权限。

调用SchRpcSetSecurity函数后，文件的权限如下，此时Administrators和Authenticated Users都拥有对文件写入权限。

由于SchRpcSetSecurity函数存在宁静验证缺陷，使恰当前用户可修改只读文件的DACL，添加写入权限。乐成利用该漏洞的结果如下图。

四、宁静建议

不要运行未知来源的法式；

? 在微软更新补丁后，及时安装补丁。

五、参考链接

https://thehackernews.com/2018/08/windows-zero-day-exploit.html

https://www.kb.cert.org/vuls/id/906424

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

Win10存在当地提权0day漏洞

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线