Microsoft已修復所有當前Windows版本中的漏洞,攻擊者可以利用該漏洞利用Windows組策略功能來完全控制計算機。此漏洞影響自Windows Server 2008以來的所有Windows版本。
Windows管理員可以通過組策略功能遠程管理網絡上的所有Windows設備。此功能使管理員可以為其組織創建集中的全局配置策略,該策略將推送到其網絡上的所有Windows設備。
這些策略允許管理員控制計算機的使用方式,例如禁用應用程式中的設置,禁止應用程式運行,啟用和禁用Windows功能,甚至在每台Windows計算機上部署相同的牆紙。
為了檢查新的組策略,Windows設備使用``組策略客戶端''服務或``gpsvc'',該服務將常規連接到域控制器並檢查新的組策略更新。
如果找到任何內容,它們會將它們應用到本地系統,以便根據需要正確執行它們。
為了正確應用這些新策略,將gpsvc服務配置為以「 SYSTEM」特權運行,該特權提供與管理員帳戶相同的權限。
組策略客戶端服務使攻擊者可以提升特權
作為今天補丁星期二安全更新的一部分,Microsoft已修復了'CVE-2020-1317 |組策略特權提升漏洞」,使本地攻擊者可以使用管理特權運行任何命令。
網絡安全公司CyberArk發現了此漏洞,後者發現針對用於組策略更新的文件的符號連結攻擊以獲得更高的特權。
「此漏洞允許域環境中的非特權用戶執行文件系統攻擊,從而使惡意用戶可以逃避反惡意軟體解決方案,繞過安全性強化並可能導致組織網絡受到嚴重破壞。此漏洞可能會影響任何Windows計算機(2008或更高版本),以在域環境中提升其特權,」CyberArk在其報告中指出。
當執行適用於組織中所有設備的組策略更新時,Windows會將新策略寫入%LocalAppData%文件夾的子文件夾中的計算機,任何用戶(包括標準用戶)均具有該權限。
例如,如果組織策略與印表機有關,則將其保存在:
通過完全訪問已知具有SYSTEM特權的進程將使用的文件,CyberArk發現他們可以在文件與執行DLL的RPC命令之間創建符號連結。
由於組策略客戶端服務以SYSTEM特權運行,因此當他們嘗試在該文件中應用策略時,它將代替攻擊者以SYSTEM特權執行任何DLL。
要觸發此漏洞,本地攻擊者可以執行gpupdate.exe程序,該程序執行手動組策略同步。然後,此命令將觸發策略更新並運行攻擊者的惡意DLL。
據CyberArk稱,利用此漏洞的全部步驟如下:
對於沒有特權的標準用戶,仍然可以在任意位置創建創建文件,攻擊者最終可以利用此漏洞來提升其特權。
「有了它;您可以在任意位置上任意創建,也可以使用此漏洞刪除和修改系統保護的文件。根據GPO對象(印表機,設備,驅動器),行為的變化很小。las,所有這些都以EoP結尾。」 CyberArk解釋說。
由於此漏洞會影響數百萬個(甚至不下十億個)設備,因此這是一個嚴重的安全漏洞,所有Windows管理員都應儘快解決。CyberArk於2019年6月17日向Microsoft披露了此漏洞,微軟今天在其2020年6月補丁星期二安全更新中修復了此漏洞。