近期,SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。
第一个漏洞出现在卡巴斯基Secure Connection(KSDE)的VPN客户端,被标记为CVE-2019-15689,攻击者可以利用其植入并运行任意无签名的可执行文件。
SafeBreach的研究人员在过去几个月里也曾发现了类似的DLL劫持漏洞,主要涉及McAfee、赛门铁克、Avast和Avira的安全解决方案。总结来说,就是这些安全解决方案试图加载一些默认不存在的库,从而让攻击者通过主动放置恶意的同名库来进行攻击。
在上述情况下,程序进程几乎都没有针对加载的DLL进行任何签名验证。
研究人员表示,KSDE是一个已被签名的服务,它会在系统启动时自动启动,以SYSTEM权限运行。该服务会试图加载多个不存在的DLL,而具有管理权限的攻击者可以用自己的恶意DLL进行替代,利用ksde.exe以SYSTEM权限加载恶意DLL。
此外,进程仅使用文件名而不是绝对路径进行加载,最终攻击者可以在已签名的卡巴斯基进程中执行任意代码。
根据安全报告的说法:“攻击者可能会在渗透成功后的持续控制阶段利用这个漏洞,以ksde.exe的身份执行任意代码,规避安全防御,保证持久性。”
研究人员利用ckahum.dll编译一个x86无签名的DLL文件来测试这个漏洞,这个DLL会写下加载它的进程名称、执行它的用户名和DLL文件的名称。然后将其放入C:\Windows\SysWow64\Wbem,重启电脑:
专家们还发现了一个类似的漏洞(涉及Autodesk),被标记为CVE-2019-7365,它会试图从PATH环境变量的不同目录加载不存在的DLL文件。
“可以使用此漏洞将任意未签名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的服务中,从而实现非法提权和持久控制。”
最后还有一个影响趋势科技Maximum Security的DLL劫持漏洞,被标记为CVE-2019-15628。这个漏洞也可以被利用来规避防御,持久控制。并在某些情况下将任意无签名的DLL加载到多个高权限运行的服务中。
该软件的某些部分是以非PPL(进程保护技术)的进程运行的,因此攻击者可加载未签名的代码,因为CIG(代码完整性保护)机制并不存在。
它也会从PATH环境变量的不同目录加载不存在的DLL文件。普通权限用户即可通过植入恶意DLL文件进行攻击,以NT AUTHORITY\SYSTEM权限执行任意代码。
“我们在虚拟机上安装了Python 2.7。而c:\python27存在一个ACL,允许任何身份经过验证的用户将文件写入。这使得非法权限非常简单,普通用户插入恶意DLL文件即可以NT AUTHORITY\SYSTEM权限执行任意代码。”
SafeBreach已在7月份向相关公司报告了这些漏洞,并针对这些漏洞发布了安全预警。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3257.html 来源:https://securityaffairs.co/wordpress/94658/hacking/dll-hijacking-kaspersky-trend-micro.html
来源:freebuf.com 2019-12-04 18:07:21 by: 白帽汇
请登录后发表评论
注册