ZDI 打破障碍和假设 Windows 上的权限提升技术 part1

主要观点总结

本文讨论了趋势科技ZDI计划中提交的链接跟随漏洞的数量和演变。文章强调了如何利用这些漏洞，特别是通过创建链接来影响文件操作的安全性。文章还讨论了防御措施和新技术，如使用FILE_FLAG_OPEN_REPARSE_POINT标志、检查重解析标签、使用受保护和隐藏文件等。同时，文章也详细描述了针对Avast Free Antivirus和AVG AntiVirus Free的链接跟随权限提升漏洞的利用案例，展示了如何利用这些漏洞创建拒绝服务条件或进行本地权限提升。最后，文章提到了链接跟随漏洞的潜在应用，以及未来的研究方向。

关键观点总结

关键观点1: 趋势科技ZDI计划中的链接跟随漏洞数量在过去几年迅速增加，这些漏洞的发现让我们更深入地了解了攻击者如何利用这些漏洞。

链接跟随漏洞发生在应用程序尝试通过文件名访问文件，但未能正确阻止文件名解析为非预期资源时。这类漏洞使得恶意用户能够通过创建NTFS联结、硬链接或符号链接，引导应用程序访问系统上的不同位置。

关键观点2: 侦察寻找链接跟随漏洞需要寻找设计为执行各种文件操作的目标，并关注文件操作如创建、复制、移动、重命名或删除文件。对文件或文件夹的自主访问控制列表（DACL）的任何修改也可能值得关注。

为了防止CreateFile操作跟随链接，开发人员已经采用了几种策略。其中使用FILE_FLAG_OPEN_REPARSE_POINT标志是一种有效方法，它阻止默认的跟随重解析点行为，而是打开重解析点本身。

关键观点3: 研究人员在Avast Free Antivirus和AVG AntiVirus Free中发现了链接跟随拒绝服务漏洞和本地权限提升漏洞。通过从隔离区恢复文件的过程，可以滥用这些漏洞来创建任意目录，进而制造拒绝服务条件或提升本地权限。

在恢复文件的过程中，如果文件的父目录不存在，AvastSvc.exe进程将被触发以重新创建不存在的目录。由于未使用FILE_FLAG_OPEN_REPARSE_POINT标志，也没有在创建目录之前检查是否存在重解析点，使得恶意用户有机会创建任意目录并滥用此行为来制造拒绝服务条件。

关键观点4: 还存在一种情况是，如果在重建路径的过程中被打断，会发生什么？如果在AvastSvc.exe之前创建路径中的某个目录，可能会导致有趣的行为。如果恶意用户能在正确的时机创建链接并赢得竞态条件，就可以利用这个漏洞来提升权限。

要成功利用这种漏洞，需要在短时间内执行多个操作，包括创建目录、设置标志、创建链接等。这需要一些技巧和策略来提高成功的机会。

文章预览

趋势科技ZDI计划中提交的链接跟随漏洞数量在过去几年迅速增加。这些提交让我们深入了解了这些漏洞是如何被发现和利用的。 在前几年，我们在这个漏洞类别中看到很多“低垂的果实”，只需在具有宽松DACL的目录中进行特权文件操作即可。而现在，如我们将在本博客系列中看到的漏洞，通常需要通过编程方式利用竞争条件。在之前的一篇博客中，我们分享了利用任意删除原语提升权限或通过任意文件或文件夹创建原语制造永久DoS状态的技巧。在本博客系列中，我们将讨论两种利用Windows遗留功能的技术，并通过我们发现的20多个漏洞提供各种示例。我们还将讨论尽管我们与多个供应商进行了努力和解释，但仍然未能解决的一些问题。这些技术是由Abdelhamid Naceri提交给ZDI的漏洞所衍生的。 什么是链接跟随漏洞？ 链接跟随漏洞，亦称为CWE-59，发生在 ………………………………