久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 本地攻擊者可以使用組策略漏洞來接管企業(yè)Windows系統(tǒng) [打印本頁]

作者: admin 時(shí)間: 2020-6-10 13:08
標(biāo)題: 本地攻擊者可以使用組策略漏洞來接管企業(yè)Windows系統(tǒng)
本地攻擊者可以使用組策略漏洞來接管企業(yè)Windows系統(tǒng)
(, 下載次數(shù): 913)
Microsoft發(fā)行了一個(gè)補(bǔ)丁程序來修復(fù)一個(gè)漏洞，該漏洞可能允許受感染的非特權(quán)用戶帳戶在系統(tǒng)上放置惡意DLL。

Microsoft今天修復(fù)了從Windows和Office到Visual Studio，Azure DevOps和Microsoft Apps for Android的整個(gè)軟件產(chǎn)品中的129個(gè)漏洞。這些缺陷中有11個(gè)是至關(guān)重要的，應(yīng)立即進(jìn)行修補(bǔ)，但是一個(gè)特定的漏洞很容易被忽略，并且可以允許具有本地訪問權(quán)限的黑客完全控制企業(yè)Windows系統(tǒng)。

跟蹤為CVE-2020-1317的問題影響集中管理Active Directory環(huán)境中Windows計(jì)算機(jī)和用戶設(shè)置的最基本機(jī)制之一：組策略。更重要的是，該漏洞已經(jīng)很久了，并且從Windows Server 2008開始在所有用于臺式機(jī)和服務(wù)器的Windows版本中都存在。

“當(dāng)組策略不正確地檢查訪問權(quán)限時(shí)，將存在特權(quán)提升漏洞。成功利用此漏洞的攻擊者可以在提升的上下文中運(yùn)行進(jìn)程。要利用此漏洞，攻擊者首先必須登錄到系統(tǒng)，然后運(yùn)行專門設(shè)計(jì)的應(yīng)用程序來控制受影響的系統(tǒng)�！�
除此以外，該公司的咨詢沒有其他信息，但是據(jù)發(fā)現(xiàn)該漏洞的CyberArk研究人員稱，這是非常嚴(yán)重的。

攻擊者如何利用組策略漏洞
組策略設(shè)置作為組策略對象（GPO）存儲在Windows系統(tǒng)上，并且域管理員可以通過網(wǎng)絡(luò)從域控制器分發(fā)它們。但是，默認(rèn)情況下，組策略更新不是即時(shí)的，通常需要一段時(shí)間才能在網(wǎng)絡(luò)上傳播，這就是Windows包含一個(gè)名為GPUpdate.exe的工具的原因，用戶可以運(yùn)行該工具來向域控制器請求GPO更新，而不必等待它們。

安全性CyberArk安全研究人員在博客文章中說：“有趣的是，本地非特權(quán)用戶可以手動(dòng)請求組策略更新。” “因此，如果您設(shè)法在組策略更新過程中發(fā)現(xiàn)錯(cuò)誤，則可以隨時(shí)觸發(fā)它，從而使?jié)撛诘墓糇兊酶尤菀住！?br />
組策略更新通過名為GPSVC的服務(wù)處理，該服務(wù)在svchost.exe進(jìn)程下運(yùn)行，該進(jìn)程處理Windows中的許多服務(wù)。如預(yù)期的那樣，此服務(wù)在NT AUTHORITY \ SYSTEM的上下文中以最高的特權(quán)運(yùn)行。

可以將組策略更新鏈接到計(jì)算機(jī)，站點(diǎn)，域或組織單位，該服務(wù)會(huì)將它們保存為名為Applied-Object.xml的文件，然后將其重命名為策略適用的對象類型。例如，有關(guān)打印機(jī)的策略將轉(zhuǎn)換為Printers \ Printers.xml。研究人員發(fā)現(xiàn)，鏈接到組織單位的GPO更新（針對該域中的所有用戶和計(jì)算機(jī)）被保存在計(jì)算機(jī)上的％localappdata％目錄下的某個(gè)位置中，任何本地用戶都可以訪問該目錄。

此外，在執(zhí)行此操作時(shí)，服務(wù)不會(huì)將其上下文和特權(quán)切換到請求更新的本地用戶（在Windows API語言中稱為用戶模擬），而是使用LocalSystem特權(quán)執(zhí)行文件寫入操作。因此，此機(jī)制提供了這樣一種情況：非特權(quán)用戶可以使用GPUpdate.exe觸發(fā)具有LocalSystem特權(quán)的文件寫入操作到他們有權(quán)訪問的目錄中。

利用鏈的最后一步是讓用戶創(chuàng)建一個(gè)符號鏈接，該符號鏈接將要寫入的目標(biāo)文件位置（例如Printers.xml）鏈接到位于受保護(hù)的Windows目錄（例如C：\）中的系統(tǒng)文件。 Windows \ System32 \，其中駐留了操作系統(tǒng)內(nèi)核執(zhí)行的許多文件。這意味著，當(dāng)GPSVC嘗試在用戶可訪問的位置寫入Printers.xml文件時(shí)，實(shí)際上將被定向?yàn)樵贑：\ Windows \ System32 \中寫入文件，因?yàn)樗哂邢到y(tǒng)特權(quán)，因此可以這樣做。

CyberArk研究人員將這些步驟描述如下：

列出您在C：\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的組策略GUID。
如果您有多個(gè)GUID，請檢查最近更新的目錄。
進(jìn)入該目錄并進(jìn)入子目錄，即用戶SID。
查看最新的修改目錄。這將因您的環(huán)境而異。就我而言，它是打印機(jī)目錄。
刪除打印機(jī)目錄內(nèi)的文件Printers.xml。
創(chuàng)建指向\ RPC Control的NTFS掛載點(diǎn)+與Printers.xml的對象管理器符號鏈接，該鏈接指向C：\ Windows \ System32 \ whatever.dll。
打開您喜歡的終端并運(yùn)行g(shù)pupdate。
非特權(quán)用戶在受保護(hù)的OS目錄中寫入文件的能力之所以危險(xiǎn)是因?yàn)樗梢杂糜谒^的DLL劫持

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/)