赛门铁克Altiris权限提升漏洞分析(CVE-2018-5240) – 互联网安全新媒体平台

媒介

在近期的一项渗透测试实践中,我们在最新版本赛门铁克Management Agent(Altiris)中发清楚明了一个安然破绽,而这个安然破绽将容许进击者实现提权。

概述

当Altiris代理履行义务扫描时(例如软件扫描),SYSTEM级办事会在扫描义务履行完毕之后向NSI和OutBox目录从新申请权限。即:

C:\ProgramFiles\Altiris\Inventory\Outbox

C:\ProgramFiles\Altiris\Inventory\NSI

申请到的权限会给‘Everyone’组成员供给这两个文件目录的完备节制权,并容许任何一名标准用户创建其他代替目录的链接。是以,‘Everyone’权限将会付与给其他代替目录,从而该目录下的任何一份文件或文件夹都邑承袭这种完全节制权限。

这也就意味着,任何一名低权限用户都可以在安装了Symantec Management Agent v7.6, v8.0或v8.1RU7的终端设备上实现权限提升。

阐发&发明

在履行渗透测试的历程中,我们常常会碰到各类各样安装了不合类型终端软件的主机设备。这些软件很可能便是我们的切入点,由于我们可以使用它们来实现提权,或者实现横向渗透。

在这些终端治理软件中,我们常常会见到的便是赛门铁克的Altiris。这个软件是一款终端治理框架,它不仅可以赞助组织或治理员确保设备及时安装了最新版本的操作系统补丁或软件更新,还可以反省用户或组权限。

我们这一次测试的版本是v7.6,不过赛门铁克方面也证明了,在最新补丁宣布之前的所有Altiris版本都邑受到这个问题的影响。

我们发明,Altiris文件架构中的目录都利用了‘Everyone-完备节制’权限。这些目录看起来存储的是合法内容,例如扫描设置设置设备摆设摆设文件和XML文件等等。然则这些目录和文件的权限都应用了一行简单的PowerShell代码,并容许我们查看随意率性Windows主机的ACL权限:

Get-ChildItemC:\ -Recurse -ErrorAction SilentlyContinue | ForEach-Object {try {Get-Acl -Path$_.FullName | Select-Object pschildname,pspath,accesstostring}catch{}}|Export-Csv C:\temp\acl.csv -NoTypeInformation

在查看这些文件目录的光阴戳时,我们发明这些目录中的文件光阴戳天天都邑发生变更。深入钻研之后,我们发明这些文件会在Altiris履行完系统或软件扫描之后被改动。现在,根据不合组织对设置设置设备摆设摆设和扫描义务的需求,这样的环境天天还有可能发生多少次。

接下来的工作就异常有趣了,当我们发清楚明了这种特点之后,我们盘算看看Cylance近期表露的进击要领在这里是否有效【参考资料】。

下面给出的是NSI文件夹的目录权限,这个目录的权限跟Outbox目录是相同的:

接下来,我们可以考试测验应用James Forshaw的符号连接测试对象来将该目录重定向到其他位置,然后创建一个其他目录的挂载点,看看这个目录下的文件是否会被改写,而事实是我们成功了。当然了,我们还可以应用sysinternals的链接对象,然则这个对象要求源目录不存在,然则我们这里的目录已经存在并拥有‘Everyone’权限了。比如说:

假如我们把这个目录删除,我们就没有权限去实现这种进击了。而James Forshaw的对象容许覆盖已存在的目录:

在这种进击技巧中还可以应用另一个名叫mklink.exe的Windows对象,然则该对象必要高档权限,这里就不适用了,由于我们要做的便是提权。

进击阐发

我们应该若何实现进击呢?别担心,我们有很多种措施来使用这个破绽,然则最简单的措施便是去考试测验覆盖全部Altiris根目录(“C:\Program Files\Altiris\AlritisAgent\”)权限,这样我们就可以改动SYSTEM账号下运行的办事代码了,也便是AeNXSAgent.exe。

下面的截图显示的是在挂载点改动权限之前Altiris Agent目录以及AsNXSAgent.exe办事代码的权限:

接下来,我们创建一个指向Altiris Agent目录的挂载点,运行之后我们就可以让每一个文件拥有完备权限了,实现起来异常简单。这里我们可以应用James Forshaw的符号链接测试对象来创建和验证挂载点。

接下来,我们只必要目标主机再次履行扫描义务,下面的截图显示的便是我们的成果:

当我们拿到了AeXNSAgent.exe的完备节制权之后,我们就可以调换办事代码,然后重启主机来获取SYSTEM权限了。

总结

Altiris Management Agent v7.6, v8.0和8.1 RU7均会受到该破绽的影响,我们强烈建议大年夜家尽快进级更新自己的软件。

假如大年夜家还有使用该破绽的新姿势,迎接大年夜家鄙人方评论区踊跃评论争论。

* 参考滥觞:nettitude,FB小编Alpha_h4ck编译,转载请注明来自.COM

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包