点击上方蓝字关注我们吧~
微软的 Sysinternals 工具集是由一系列 Windows 管理和故障排除工具组成的,这些工具广泛被安全专家和系统管理员使用。然而,近期有研究人员发现了该工具集中的一些 零日漏洞,这些漏洞可能会被攻击者利用,造成严重的安全风险。
这些漏洞主要存在于 Sysinternals 工具中的 PsExec 和 ProcDump 工具中。这些工具通常用于系统管理、故障排除以及调试 Windows 系统,但如果被恶意使用,它们也可能成为攻击者入侵系统的工具。
进程加载的 DLL 可以使用 “Listdlls” 显示:
这些应用程序并不是严格地访问受信任的系统路径,而是优先考虑当前工作目录(CWD)或其他预定义路径。这种行为使得攻击者能够将恶意的 DLL 文件放置在与可执行文件相同的目录中。根据报告,当应用程序启动时,恶意的 DLL 文件会被加载并执行,而不被检测到。
例如,攻击者可以将恶意文件与一个合法工具(如 cryptbase.dll
和 Bginfo.exe
)一起放置在共享网络驱动器上。
当用户从这个位置运行该应用程序时,恶意的 DLL 会被加载,并在应用程序的进程中执行攻击者的代码。可以绕过传统的安全措施,并在目标系统上提升权限。
漏洞详细说明:
-
PsExec 漏洞:PsExec 是一个广泛使用的工具,允许用户远程执行命令。这款工具如果被攻击者恶意利用,可能会导致远程代码执行(RCE)。攻击者可以通过 PsExec 在目标系统上运行恶意命令,从而获取管理员权限。
该漏洞的利用方式通常需要攻击者在目标系统中具备某种权限(如标准用户权限),然后通过 PsExec 工具来执行恶意代码。
-
ProcDump 漏洞:ProcDump 是另一个常用工具,主要用于创建进程转储文件,帮助开发者调试应用程序。然而,攻击者可以利用该工具中的漏洞来创建恶意的进程转储,从而引发远程代码执行(RCE)。
这个漏洞的严重性在于,攻击者不需要在目标系统上拥有管理员权限就能够利用它。这使得攻击者能够轻松地通过简单的恶意命令,获取远程控制权限。
风险影响:
-
数据泄露:攻击者可能能够通过这些漏洞获取敏感信息,甚至完全控制受影响的系统。
-
远程控制:如果攻击者成功利用这些漏洞,他们可以远程执行任意命令,完全接管目标系统。
-
病毒传播:恶意软件可能通过这些工具传播,进一步扩大攻击的范围。
解决办法:
微软已经发布了针对这些零日漏洞的安全更新。用户应该尽快更新 Sysinternals 工具集中的相关工具版本,以修补这些漏洞。
-
更新工具:访问 Microsoft 官方 Sysinternals 网站,下载最新版本的工具集。
-
禁用漏洞工具:在无法立即更新的情况下,系统管理员可以暂时禁用 PsExec 和 ProcDump 等工具,直到更新完成。
来源:gbhackers
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):微软 Sysinternals 工具中的0 day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论