首页 > 安全钻研 > 安全传递 > 安全公告

Win10本地提权0day缝隙安全公告

颁布功夫 2018-08-29

缝隙编号和级别

CVE编号：无，危险级别：高，CVSS分值：官方未评定

影响版本

Windows 10 32/64位操作系统

缝隙概述

2018年8月27日，安全钻研人员在github上颁布了最新的win10x64版的本地提权缝隙，并且在推特上对其提权的demo进行了演示。在github上的SandboxEscaper上有着齐全的缝隙利用法式以及demo，并且被其他安全钻研专家证实该缝隙能够在最近的win10上复现。

该缝隙的原因在于win10系统的工作调度服务中有alpc的挪用接口，该接口导出了SchRpcSetSecurity函数，该函数正是本次缝隙利用到的函数。该函数的原型如下：

long _SchRpcSetSecurity(
[in][string] wchar_t* arg_1, //Task name
[in][string] wchar_t* arg_2, //Security Descriptor string

[in]long arg_3);

当肆意权限的用户挪用该函数时，该函数会检测 c:\windows\tasks目录下是否存在一个后缀为job的文件，若是该文件存在会向该文件写入指定的DACL数据。本次缝隙利用的方式即通过硬链接的方式将该job文件指定链接到特定的dll上，这样当用户挪用该函数时会向特定的dll写入数据，而特定的dll往往是系统级此外dll。在github上颁布的缝隙利用法式则会向printconfig.dll写入提权代码，并通过启动打印服务spoolsv.exe来执行提权代码，从而实现内核提权。

缝隙验证

本次复现使用了win10x64版，首先使用github上提供的缝隙利用工具，查看其具体用法。该缝隙利用工具的重要方式是通过dll注入的方式向低权限的过程注入能够实现整套提权攻击的shellcode。

随后利用ie浏览器进行测试时发现无法利用成功，固然缝隙利用的dll已经被写入到spoolsv.exe中，但却没有实现缝隙真正的成效。接下来依照演示demo中的操作，打开一个notepad法式，并对notepad法式进行注入。

随后查看spoolsv.exe下的所有子过程，发现该notepad.exe法式被spoolsv.exe法式沉新打开，和github上的缝隙利用的demo中的成效一致，能够确定缝隙利用成功。

GA黄金甲·(中国区)官方网站

接下来查看spoolsv.exe中的第三方动态库，能够看到我们利用缝隙所批改的dll

GA黄金甲·(中国区)官方网站

而该dll的批改功夫也显示是刚刚缝隙利用的功夫，至此缝隙复现成功。

GA黄金甲·(中国区)官方网站

Poc：https://github.com/SandboxEscaper/randomrepo

建复建议

厂商尚未颁布有关补丁，审慎执行未经审核起源对的法式。

参考链接

https://thehackernews.com/2018/08/windows-zero-day-exploit.html
https://github.com/SandboxEscaper/randomrepo

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Win10本地提权0day缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线