关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

windows最新在野提权0day漏洞细节披露
时间:2019.03.15   作者:admin   阅读:174

本windows提权漏洞编号为CVE-2019-0797

windows最新在野提权0day漏洞细节披露,已被APT组织用于实际攻击

通告

当Win32k组件无法正确处理内存中的对象时,Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。

要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行可以利用此漏洞并控制受影响系统的特制应用程序。

影响版本:

Windows 10 全版本

Windows 8.1

Windows Server 2012 - 2019

本漏洞由卡巴发现并报告给微软,原文链接如下:

https://securelist.com/cve-2019-0797-zero-day-vulnerability/89885/

具体细节

这是卡巴发现的在Windows中连续第四次被利用的Local Privilege Escalation漏洞。就像CVE-2018-8589一样,这个提权漏洞被FruityArmor和SandCat等组织使用。虽然FruityArmor曾使用过0day漏洞,但SandCat是卡巴最近才发现的新APT组织。除了CVE-2019-0797和CHAINSHOT之外,SandCat还使用FinFisher / FinSpy恶意软件框架。

CVE-2019-0797是win32k驱动程序中存在的竞争条件,由于未记录的系统调用NtDCompositionDiscardFrame和NtDCompositionDestroyConnection之间没有进行正确的同步,从而导致竞争条件漏洞诞生。

竞争条件是系统中的一种反常现象,由于现代系统中大量使用并发编程,对资源进行共享,如果产生错误的访问模式,便可能产生内存泄露,系统崩溃,数据破坏,甚至安全问题。竞争条件漏洞就是多个进程访问同一资源时产生的时间或者序列的冲突,并利用这个冲突来对系统进行攻击。一个看起来无害的程序如果被恶意攻击者利用,将发生竞争条件漏洞。出现漏洞的代码如下图所示

windows最新在野提权0day漏洞细节披露,已被APT组织用于实际攻击

NtDCompositionDiscardFrame系统调用的片段(Windows 8.1)

在这个带有NtDCompositionDiscardFrame系统调用的简化了逻辑代码的截图中,可以看到此代码会去获取与结构DirectComposition :: CConnection中帧(Frame)操作相关的锁(Lock),并尝试查找与给定的ID 对应的帧(Frame),并最终释放帧(见上图)。可以在下图中观察到此问题:

windows最新在野提权0day漏洞细节披露,已被APT组织用于实际攻击

NtDCompositionDestroyConnection系统调用内部函数的片段(Windows 8.1)

在这个截图中为使用从NtDCompositionDestroyConnection系统调用中调用的函数DiscardAllCompositionFrames的简化版本的逻辑代码,可以看到它没有获取必要的锁(lock),并调用将释放所有已经分配了帧(frames)的函数DiscardAllCompositionFrames。

而问题在于,当系统同时调用NtDCompositionDiscardFrame和NtDCompositionDestroyConnection并执行时,

可以在系统调用函数NtDCompositionDiscardFrame在找或者已经找到了一个要释放的帧的时候,再去执行函数DiscardAllCompositionFrames

这种情况将会导致释放帧再被重新使用的情况 (UAF)。

有趣的是,这是除了CVE-2018-8589和CVE-2018-8611之外,又一组使用的第三种竞争条件0day攻击。

下图应该是0day样本的攻击代码片段

windows最新在野提权0day漏洞细节披露,已被APT组织用于实际攻击

如果模块文件名包含子字符串“chrome.exe”,则停止执行

在野发现的0day漏洞攻击目标是从Windows 8到Windows 10 build 15063的64位操作系统。所有这些操作系统的漏洞利用程序没有太大差别,并使用堆喷 Palette和Accelerator Table加速键表执行使用GdiSharedHandleTable和gSharedInfo,从而泄漏其内核地址。在利用Windows 10 build 14393和更高的windows版本时候,并没有使用Palettes。

除此之外,该漏洞利用程序会检查它是否从谷歌浏览器中运行,若是则并停止执行,因为漏洞CVE-2019-0797是无法在沙箱中被利用,即无法进行沙箱逃逸。需强调,这与前几天谷歌爆的微软的提权漏洞不是一个洞,前几天那个是

CVE-2019-0808,这个和2019-0797不同,是可以配合谷歌浏览器使用的。

windows最新在野提权0day漏洞细节披露,已被APT组织用于实际攻击

 

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项