Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343)
Sysmon 是 Sysinternals 工具集中的一款命令行工具,它可以在后台对 Windows 系统进行监视,并将某些事件写入到 Event Log 当中,以扩展 Windows 事件日志的相关功能。Sysmon 是纯命令行工具,无需用户交互或图形用户界面,就可以自行完成日志记录操作
近日,针对 Microsoft Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343)的POC已公开,此漏洞可能会授予经过身份验证的攻击者获取 SYSTEM 特权(Windows 环境中的最高级别权限)的能力。
此问题的核心错误涉及 Sysmon 工具,这是一种 Windows 系统服务和设备驱动程序,用于监视系统活动并将其记录到 Windows 事件日志中,问题在于 Sysmon如何验证其存档目录的访问和所有权。在上一个安全补丁之后,Sysmon被配置为检查归档目录是否存在,如果存在,则确认它属于SYSTEM。此外,它还确保仅向 SYSTEM 授予访问权限。如果满足这两个条件,Sysmon 将继续写入或删除此目录中的文件。不幸的是,低权限用户无法更改文件或目录的所有权。这就需要找到一个已经由 SYSTEM 拥有但可以授予低权限用户或任何该用户可能属于的组完全访问权限 - 或者至少是 WRITE_DAC、DELETE 和 FILE_WRITE_ATTRIBUTES。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29343
https://twitter.com/Dinosn/status/1670475171415613441
https://securityonline.info/poc-released-for-windows-sysinternals-sysmon-privilege-escalation-cve-2023-29343-bug/
原文始发于微信公众号(锋刃科技):Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开
评论