-
-
我们是如何发现Win64bit提权0day漏洞(CVE-2014-4113)的
-
发表于: 2014-10-17 19:32
-
新闻链接:http://www.hackbase.com/news/2014-10-16/119359.html
新闻时间:2014-10-16
新闻正文:
攻击者经常利用已知的权限提升漏洞获得管理员级别的访问,而黑客直接利用0day漏洞进行攻击是非常罕见的。近日CrowdStrike团队(CrowdStrike Falcon Host Endpoint Threat Detection & Response)监测到了Win64bit2008 R2计算机上存在可疑的活动。CrowdStrike认为:这些计算机极有可能受到飓风熊猫(HURRICANE PANDA)的控制。
飓风熊猫(HURRICANE PANDA)
飓风熊猫被认为是原产于中国(小编:又栽赃我们……)、主要针对基础设施公司的先进攻击者。我们知道它们除了拥有0day漏洞外,还有其他的三种本地特权提升漏洞。我们知道飓风熊猫使用的是“ChinaChopper”Webshell,而一旦上传这一Webshell,操作者就可试图提升权限,然后通过各种密码破解工具获得目标访问的合法凭证。
Falcon Host提供完全可视化的攻击:发现本地权限提升漏洞(CVE-2014-4113)
监测程序显示从WEBSHELL使用Win64.exe来提升权限
我们可以看到,Net命令已以Local System权限(Windows下最高权限)执行
我们随后分析Win64.exe二进制发现,它利用了一个0day漏洞就提权成SYSTEM用户,然后创建具有这些访问权限的新进程来运行参数中的命令。该文件只有55千字节大小,只包含几个功能:
1. 创建一个存储部分,存储一个将被内核调用的函数指针,触发该漏洞。
2. 利用窗口管理器的内存破坏漏洞,模拟用户交互调用回调函数。
3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。
4. 以SYSTEM权限执行第一个参数中的命令。
下图演示了如何在cmd当中提升权限:
该攻击代码写的非常好,成功率达到100%,并且已经最大化的减少其被发现的可能性。win64.exe工具只是在需要的时候上传,随后立刻删除。Win64.exe的编译时间是2014年5月3日,该漏洞至少已经利用5个月了。
有趣的是,这个工具内嵌一句字符串:“woqunimalegebi”——这在中文中是一句脏话。
所有Windows版本受影响
该安全漏洞影响了所有的Windows版本,包括Windows7 和 Windows Server 2008 R2 及以下版本。在Windows 8和英特尔的Ivy Bridge或者新一代处理器的系统中,SMEP(Supervisor Mode Execution Prevention)会阻止企图利用该漏洞的行为而使计算机变为蓝屏状态。
在报告了这一漏洞之后,微软就发布了安全公告以及补丁MS14-058。
新闻时间:2014-10-16
新闻正文:
攻击者经常利用已知的权限提升漏洞获得管理员级别的访问,而黑客直接利用0day漏洞进行攻击是非常罕见的。近日CrowdStrike团队(CrowdStrike Falcon Host Endpoint Threat Detection & Response)监测到了Win64bit2008 R2计算机上存在可疑的活动。CrowdStrike认为:这些计算机极有可能受到飓风熊猫(HURRICANE PANDA)的控制。
飓风熊猫(HURRICANE PANDA)
飓风熊猫被认为是原产于中国(小编:又栽赃我们……)、主要针对基础设施公司的先进攻击者。我们知道它们除了拥有0day漏洞外,还有其他的三种本地特权提升漏洞。我们知道飓风熊猫使用的是“ChinaChopper”Webshell,而一旦上传这一Webshell,操作者就可试图提升权限,然后通过各种密码破解工具获得目标访问的合法凭证。
Falcon Host提供完全可视化的攻击:发现本地权限提升漏洞(CVE-2014-4113)
监测程序显示从WEBSHELL使用Win64.exe来提升权限
我们可以看到,Net命令已以Local System权限(Windows下最高权限)执行
我们随后分析Win64.exe二进制发现,它利用了一个0day漏洞就提权成SYSTEM用户,然后创建具有这些访问权限的新进程来运行参数中的命令。该文件只有55千字节大小,只包含几个功能:
1. 创建一个存储部分,存储一个将被内核调用的函数指针,触发该漏洞。
2. 利用窗口管理器的内存破坏漏洞,模拟用户交互调用回调函数。
3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。
4. 以SYSTEM权限执行第一个参数中的命令。
下图演示了如何在cmd当中提升权限:
该攻击代码写的非常好,成功率达到100%,并且已经最大化的减少其被发现的可能性。win64.exe工具只是在需要的时候上传,随后立刻删除。Win64.exe的编译时间是2014年5月3日,该漏洞至少已经利用5个月了。
有趣的是,这个工具内嵌一句字符串:“woqunimalegebi”——这在中文中是一句脏话。
所有Windows版本受影响
该安全漏洞影响了所有的Windows版本,包括Windows7 和 Windows Server 2008 R2 及以下版本。在Windows 8和英特尔的Ivy Bridge或者新一代处理器的系统中,SMEP(Supervisor Mode Execution Prevention)会阻止企图利用该漏洞的行为而使计算机变为蓝屏状态。
在报告了这一漏洞之后,微软就发布了安全公告以及补丁MS14-058。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
