微软 Sysinternals 工具中的0 day

admin 2025年2月8日00:50:35评论8 views字数 1302阅读4分20秒阅读模式

微软 Sysinternals 工具中的0 day点击上方蓝字关注我们吧~

微软 Sysinternals 工具中的0 day

微软的 Sysinternals 工具集是由一系列 Windows 管理和故障排除工具组成的,这些工具广泛被安全专家和系统管理员使用。然而,近期有研究人员发现了该工具集中的一些 零日漏洞,这些漏洞可能会被攻击者利用,造成严重的安全风险。

这些漏洞主要存在于 Sysinternals 工具中的 PsExecProcDump 工具中。这些工具通常用于系统管理、故障排除以及调试 Windows 系统,但如果被恶意使用,它们也可能成为攻击者入侵系统的工具。

微软 Sysinternals 工具中的0 day

进程加载的 DLL 可以使用 “Listdlls” 显示:

这些应用程序并不是严格地访问受信任的系统路径,而是优先考虑当前工作目录(CWD)或其他预定义路径。这种行为使得攻击者能够将恶意的 DLL 文件放置在与可执行文件相同的目录中。根据报告,当应用程序启动时,恶意的 DLL 文件会被加载并执行,而不被检测到。

例如,攻击者可以将恶意文件与一个合法工具(如 cryptbase.dllBginfo.exe)一起放置在共享网络驱动器上。

当用户从这个位置运行该应用程序时,恶意的 DLL 会被加载,并在应用程序的进程中执行攻击者的代码。可以绕过传统的安全措施,并在目标系统上提升权限。

漏洞详细说明:

  1. PsExec 漏洞:PsExec 是一个广泛使用的工具,允许用户远程执行命令。这款工具如果被攻击者恶意利用,可能会导致远程代码执行(RCE)。攻击者可以通过 PsExec 在目标系统上运行恶意命令,从而获取管理员权限。

    该漏洞的利用方式通常需要攻击者在目标系统中具备某种权限(如标准用户权限),然后通过 PsExec 工具来执行恶意代码。

  2. ProcDump 漏洞:ProcDump 是另一个常用工具,主要用于创建进程转储文件,帮助开发者调试应用程序。然而,攻击者可以利用该工具中的漏洞来创建恶意的进程转储,从而引发远程代码执行(RCE)。

    这个漏洞的严重性在于,攻击者不需要在目标系统上拥有管理员权限就能够利用它。这使得攻击者能够轻松地通过简单的恶意命令,获取远程控制权限。

风险影响:

  • 数据泄露:攻击者可能能够通过这些漏洞获取敏感信息,甚至完全控制受影响的系统。

  • 远程控制:如果攻击者成功利用这些漏洞,他们可以远程执行任意命令,完全接管目标系统。

  • 病毒传播:恶意软件可能通过这些工具传播,进一步扩大攻击的范围。

解决办法:

微软已经发布了针对这些零日漏洞的安全更新。用户应该尽快更新 Sysinternals 工具集中的相关工具版本,以修补这些漏洞。

  • 更新工具:访问 Microsoft 官方 Sysinternals 网站,下载最新版本的工具集。

  • 禁用漏洞工具:在无法立即更新的情况下,系统管理员可以暂时禁用 PsExec 和 ProcDump 等工具,直到更新完成。

    来源:gbhackers

    免责声明

    本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!

    微软 Sysinternals 工具中的0 day

原文始发于微信公众号(网安百色):微软 Sysinternals 工具中的0 day

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月8日00:50:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软 Sysinternals 工具中的0 dayhttps://cn-sec.com/archives/3706918.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息