Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

admin 2024年10月31日13:02:52评论33 views字数 986阅读3分17秒阅读模式

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

Windows SysInternals Sysmon 权限提升漏洞CVE-2023-29343

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

Sysmon 是 Sysinternals 工具集中的一款命令行工具,它可以在后台对 Windows 系统进行监视,并将某些事件写入到 Event Log 当中,以扩展 Windows 事件日志的相关功能。Sysmon 是纯命令行工具,无需用户交互或图形用户界面,就可以自行完成日志记录操作

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

NO.1

漏洞描述

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开
近日,针对 Microsoft Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343)的POC已公开,此漏洞可能会授予经过身份验证的攻击者获取 SYSTEM 特权(Windows 环境中的最高级别权限)的能力。
此问题的核心错误涉及 Sysmon 工具,这是一种 Windows 系统服务和设备驱动程序,用于监视系统活动并将其记录到 Windows 事件日志中,问题在于 Sysmon如何验证其存档目录的访问和所有权。在上一个安全补丁之后,Sysmon被配置为检查归档目录是否存在,如果存在,则确认它属于SYSTEM。此外,它还确保仅向 SYSTEM 授予访问权限。如果满足这两个条件,Sysmon 将继续写入或删除此目录中的文件。不幸的是,低权限用户无法更改文件或目录的所有权。这就需要找到一个已经由 SYSTEM 拥有但可以授予低权限用户或任何该用户可能属于的组完全访问权限 - 或者至少是 WRITE_DAC、DELETE 和 FILE_WRITE_ATTRIBUTES。

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

NO.2

漏洞影响范围

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

Sysmon < 14.16

NO.3

修复方案

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开
1. 官方已发布安全补丁,请及时修复:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29343

NO.4

参考链接

Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开
https://twitter.com/Dinosn/status/1670475171415613441
https://securityonline.info/poc-released-for-windows-sysinternals-sysmon-privilege-escalation-cve-2023-29343-bug/
Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

原文始发于微信公众号(锋刃科技):Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月31日13:02:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开https://cn-sec.com/archives/1833409.html

发表评论

匿名网友 填写信息