Windows 系统中的严重漏洞：攻击者如何完全控制您的 PC

Windows系统上广泛使用的软件MSI Center被发现存在严重安全漏洞。

该漏洞分类为CVE-2024-37726，CVSS 评分为 7.8（高）。

允许低权限的攻击者完全控制系统。

权限提升是指在没有正确权限的情况下，向具有有限权限的用户（例如管理员）授予更高权限的访问权限的情况。

这可能允许攻击者执行通常不允许的操作。

漏洞详情

通过利用 MSI Center 处理权限方式中的缺陷，攻击者可以操纵文件系统并导致软件以提升的权限覆盖或删除关键文件。

通过这种方式，攻击者可以控制系统并执行任何操作，包括安装恶意软件、窃取敏感数据，甚至以最高级别的权限执行任意代码。

这一切都是通过滥用符号链接（symbolic links）来欺骗操作系统的。

MSI Center 2.0.36.0 及之前的所有版本都容易受到此攻击。

这意味着相当多的 Windows 系统可能面临这种严重威胁。

该漏洞可通过以下步骤被利用：

步骤 1：使用OpLock创建目录

具有低权限的用户在可访问的位置创建一个目录，进而在其中创建一个文件。

接下来，用户使用系统工具对之前创建的文件设置OpLock（强制锁定）。

OpLock 可防止其他进程访问或修改文件，直到锁被释放。

步骤 2：通过 MSI Center 启用写入操作

****MSI Center 中的“导出系统信息”功能用于触发对 OpLocked 文件的写入操作。

步骤 3：用符号连接替换原始文件

当 MSI Center 尝试写入 OpLock 锁定的文件时，攻击者会将其替换为指向所需目标文件（例如关键系统文件）的符号连接。

步骤 4：利用 MSI Center 提升的权限

当MSI Center尝试完成写入操作时，由于OpLock，它将无法访问原始文件。

但是，由于之前创建的符号连接，MSI Center 将写入或覆盖该连接指向的目标文件。

由于MSI Center 以 NT AUTHORITYSYSTEM 权限运行，因此攻击者可以完全控制目标文件，有可能用恶意代码覆盖它或完全删除它。

总之，该漏洞利用 OpLock 和符号连接的组合来欺骗 MSI Center 对任意目标文件执行提升的操作。

低权限的攻击者可以利用此方法来控制系统、安装恶意软件、窃取敏感数据或造成其他严重损害。

可能的利用

此漏洞可能导致一系列严重后果，包括：

• 关键文件的泄露：攻击者可以利用提升的权限任意覆盖或删除文件，可能对操作系统、应用程序或敏感数据造成不可挽回的损害。

• 静默恶意软件安装：特权提升允许攻击者无需管理员权限即可安装恶意软件，从而危及所有系统用户的安全。此外，MSI中心是带有Windows签名的二进制文件，允许您绕过监控或防病毒进程，使用标准Windows二进制文件被称为Living-Off-The-Land。

• 任意代码执行：攻击者可以使用系统权限执行任意代码，获得对系统的完全控制，并可能安装持久后门或窃取关键数据。

• 系统启动危害：攻击者可以将恶意负载放置在启动位置，在管理员登录后自动激活它们，从而危害整个系统。

MSI 在 2024 年 7 月 3 日发布的 MSI Center 版本 2.0.38.0 中修复了该漏洞。

立即更新到此版本对于降低风险至关重要。

CVE-2024-37726 漏洞对使用 MSI Center 的 Windows 系统构成严重威胁。

更新到最新版本并采取适当的安全措施对于降低风险和保护系统免受潜在网络攻击至关重要。

原文始发于微信公众号（网络研究观）：Windows 系统中的严重漏洞：攻击者如何完全控制您的 PC