Urahara's Blog

NSFOCUS M01N RedTeam Member, Co-founder of FormSec, security researcher, bug hunter, Red Teamer, pentester. Opinions are my own.

CVE-2019-0841 DACL权限覆盖本地提权漏洞攻击分析

15 Apr 2019 » Red Team, Privilege Escalation

本文首发绿盟科技技术博客,作者:Urahara、dev2null

0x00 前言

近日国外的研究员Nabeel Ahmed纰漏了CVE-2019-0841的漏洞细节,该漏洞成功利用会使低权限用户获取到目标文件的“完全控制”权限,红队人员配合dll劫持等其他攻击技术可完成提权到NT Authority/SYSTEM及后门攻击。微软认为该漏洞是由Windows AppX 部署服务(AppXSVC)没有正确处理硬链接导致的,实质上是由于Windows系统的三个特性组合完成的利用,绿盟科技M01N红队对该漏洞原理和利用进行详细分析。

0x01 相关概念

DACL (Discretionary Access Control List)是 ACE (Access Control Entries)的集合。ACE访问控制条目定义了谁能对某个对象做什么(如读/写等操作):

img

硬链接Hard link是一种针对文件的特殊快捷方式,不占用系统空间,但目标文件必须在同一个驱动器内,且数据会同步(修改一个文件的内容,其他链接文件内容也会被修改)。

0x02 漏洞原理

所有的Windows应用的用户配置都位于C:\Users<username>\AppData\Local\Packages<Packagename>目录下,每个应用都有一个名为settings.dat的注册表文件,通过加载配置单元可以看到配置内容:

img

该文件用于追踪应用的注册表设置。NT Authority/SYSTEM使用该文件修改应用配置,而作为普通用户也拥有完全控制的访问权限:

img

这里以系统默认安装的Edge浏览器进行举例,打开Edge浏览器后,settings.dat文件会被NT Authority/SYSTEM访问,首先会对文件的权限进行检查,如果权限错误,就会修复文件权限。然后SYSTEM会读取文件内容,若内容已损坏,则会删除该文件,同时通过复制位于C:\WIndows\System32目录下的settings.dat模版文件重置应用配置。之后,获取新文件的拍他锁(Exclusive lock)以防止其他的进程在应用运行时访问该文件。

img

img

这些行为大部分都是以用户身份进行的,因为当前用户也拥有完全控制的访问权限。如果我们能够将该注册表文件设置为目标文件的硬链接,我们便不再拥有对该配置文件的完全控制权,因为此时该硬链接文件已经变成了是目标文件的访问权限属性。SYSTEM在检查该文件权限时会修复当前的权限错误(给当前用户完全控制的访问权限),而对该配置文件的属性修改会传递到目标文件上,也就是说,SYSTEM为我们配置了对目标文件的完全控制权。

0x03 漏洞分析

下图为networks文件属性,当前普通用户只具有读取与执行的权限,而SYSTEM具有完全控制权:

img

使用系统内置命令mklink为networks文件设置硬链接,并将该链接文件设为Edge浏览器的注册表配置文件settings.dat:

img

img

可以看到,该操作被拒绝访问了。在事件属性Desired Access中我们可以看到,程序希望获得对networks文件写属性(Write Attributes)和同步(Synchronize)的访问权限。

下面使用GoogleProjectZero的符号链接测试工具集中的硬链接创建文件进行操作:

img

img

img

同样在事件属性Desired Access中可以看到,这次程序希望获得对networks文件的最大可允许访问权限(Maximum Allowed),并成功通过SetLinkInformation操作设置了硬链接。

根据Project Zero博客中的描述,mklink进行创建硬链接操作时,请求的是FILE_WRITE_ATTRIBUTE权限:

img

而他们发现,在打开链接文件时即使不去请求写权限,仍然能完成硬链接的创建,因此可以自行调用系统API实现硬链接创建:

img

在创建硬链接后启动Edge浏览器。Edge可以读取settings.dat文件内容,但是当它请求进行写操作时,被拒绝访问了,因为此时该文件为hosts文件的硬链接,而当前低权限用户并不具有对networks文件的完全控制/修改权限。此时,SYSTEM为当前用户配置该文件的读写等权限(因为当前用户本应具有对该settings.dat文件的完全控制权):

img

img

SYSTEM读取该文件后发现内容已损坏(因为此时它的内容是hosts文件内容,而不是注册表文件的内容),删除文件并复制该文件的模版到该目录下以还原此配置。

img

此时可以发现SYSTEM对此前的硬链接文件的权限进行修改后,权限配置已经被传递到了networks文件,当前用户已经具有对该文件的完全控制权:

img

利用该思路,攻击者可以通过修改一些可被利用的dll文件的权限,从而篡改文件内容,当程序使用高权限调用该dll时便能执行攻击者的代码内容,从而完全权限提升。

0x04 利用条件

  1. 因为是使用SYSTEM身份对文件权限进行修改的,所有SYSTEM必须对目标文件具有完全控制的访问权限;

  2. 低权限用户/组必须拥有读取/执行的权限,且该权限应该可以被继承。如果用户对目标文件的权限没有启用继承,系统配置settings.dat文件权限时则无法利用硬链接将权限传递/继承到目标文件上。如下图所示,test用户对networks文件的完全控制访问权限实际上是继承于对父对象即settings.dat文件的访问权限:

    img

0x05 漏洞总结

该漏洞的核心思想总结为利用了以下三点Windows的相关特性:

  1. 系统默认安装应用在启动时,会使用SYSTEM权限检查应用的settings.bat配置文件,包括文件权限、完整性等,在文件权限错误时会对其进行权限修改
  2. 系统创建硬链接命令mklink需要对目标文件拥有写权限,但写权限是完成该操作的非必要条件,可以通过调用系统API自行实现代码完成硬链接创建
  3. 由于目标文件默认开启继承关系,当给创建的硬链接文件赋权时,父对象文件也同样会获得权限

0x06 攻击利用

通过该漏洞我们可以获取系统可信目录文件的完全控制权限,通过对文件内容的篡改结合dll劫持等方式可完成提权或后门攻击的目的。比如我们可以通过该漏洞进行权限覆盖获取“完全控制”权限并篡改dll文件,Chrome浏览器升级功能googleupdate服务会以system权限运行并调用加载该dll文件,最终攻击者的恶意代码将被执行,完成提权后门攻击。

img

img

img

img

0x07 参考资料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0841

https://krbtgt.pw/dacl-permissions-overwrite-privilege-escalation-cve-2019-0841/

https://github.com/rogue-kdc/CVE-2019-0841

https://docs.microsoft.com/en-us/windows/desktop/fileio/hard-links-and-junctions

https://googleprojectzero.blogspot.com/2015/12/between-rock-and-hard-link.html