Técnica de ganhar acesso administrador local não é apenas com mouses Razer .. é possível com TODOS

Recentemente, um pesquisador de segurança @jonhat descobriu uma vulnerabilidade de dia zero na instalação plug-and-play do Razer Synapse que permite aos usuários obter privilégios de SISTEMA em um dispositivo Windows rapidamente. conectando o mouse Razer ao sistema, o Windows 10 fará o download do software adequado e iniciará o processo de instalação do driver. Como o wrapper do processo deste software está sendo executado com privilégios de SISTEMA, o invasor pode abusar do caminho de instalação para lançar um comando de prompt com a mesma permissão.

Há mais?

Depois dessa divulgação, tentei conduzir um teste contra outro teclado gamming “SteelSeries” que comprei recentemente e comecei a brincar um pouco com ele. e foi capaz de encontrar outra vulnerabilidade de escalonamento de privilégio, tentou entrar em contato com https://support.steelseries.com/,  mas não foi capaz de encontrar nenhum canal para relatar sobre o problema de segurança de seu produto.

Passo a passo da investigação do processo

Depois de conectar o teclado, o Windows 10 inicia o processo de instalação e imediatamente abre o instalador do software conforme a figura a seguir. A melhor maneira é usar kits de ferramentas da Sysinternals como Procmon ou você pode usar o hacker versão portátil.

O que devemos entender do processo de instalação é que o software irá primeiro baixar outro arquivo de configuração “SteelSeriesGG6.2.0Setup.exe” e colocar todo o conteúdo na pasta C:\windows\temp, o que significa que o usuário não pode selecionar uma pasta para salvar .

Ao usar o Procmon, apliquei alguns filtros de consulta para inspecionar se o aplicativo está carregando qualquer DLL / EXE ausente possível das pastas do usuário às quais os usuários normais têm acesso, mas sem nenhum resultado bem-sucedido.

#PROCMON FILTER
application name contains SteelSeries
path       endswith .dll or .exe 
result   contains NOT

Após terminar o processo de download, outro processo de instalação começa no seguinte caminho C:\windows\Temp\ com o mesmo nível de SISTEMA. 

Corrente de ataque

Como agora tenho outro processo em execução com privilégios de SISTEMA que dá outra possibilidade de abusar dele ou encontrar outra maneira de escalar, tentei descobrir se há algum truque para escolher o caminho a ser instalado, para que a partir daí eu possa gerar um CMD. Mas não fui capaz de conduzir um ataque semelhante ao caso de dia zero da Razer, porque o assistente de instalação escolhe o local da pasta padrão e inicia a instalação sem interação do usuário. Também tentei depurar e monitorar o processo de configuração com Procmon, mas não encontrei nenhuma maneira possível de explorá-lo.

Links são suculentos

Em qualquer processo de configuração, há um contrato de usuário que precisa da aprovação dos usuários para prosseguir, olhando para a caixa de diálogo Eu descobri que um link saiba mais é clicável e pode me permitir abusar dele para iniciar outro processo com o mesmo nível de SISTEMA.

Após clicar no rótulo selecionado, outra caixa de diálogo apareceu com a possibilidade de escolher um aplicativo inicializador.

Como o setup proíbe escolher qualquer processo para abrir o link, embora seja apenas pelo navegador padrão para prosseguir. Após a abertura com o Internet Explorer, o processo continua rodando como SYSTEM.

E é disso que preciso; Eu posso usar o IE para salvar a página da web no disco do computador e dentro da caixa de diálogo, posso segurar a tecla de atalho SHIFT e, em seguida, gerar o CMD e, finalmente, obter o nível do SISTEMA.

Conclusão

como Summery, uma vez que os fornecedores não forçam o controle de acesso adequado no firmware para download, podemos ainda estar trabalhando para realizar um teste em vários produtos de hardware.

Fonte: http://0xsp.com/