深度：CVE-2017-8565分析和利用

如果你在最近的更新如KB4025342中看到以下三個關鍵字，請不要驚慌，...

...保持冷靜，並閱讀新的安全更新指南門戶網站上的CVE-2017-8565

是的，CVE-2017-8565於2017年7月11日發布。

來自Hewlett-Packard Enterprise Security的Oleksandr Mirosh和AlvaroMu?oz報告了這個漏洞，我們可以在致謝頁面看到。

在下一頁中，你可以閱讀有關這個安全問題的詳細說明：https：

//portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8565

當PSObject包裝CIM實例時，PowerShell中就會存在一個遠程執行代碼漏洞。成功利用此漏洞的攻擊者可能會在易受攻擊的系統上執行惡意代碼。

在攻擊方案中，攻擊者可以在PowerShell遠程會話中執行惡意代碼。

該更新通過更正PowerShell如何反序列化用戶提供的腳本來解決漏洞。

上述頁面說明了這是一個遠程執行代碼（RCE）漏洞，我猜測這是因為在攻擊場景中調用了Remoting所致。

這就是為什麼我並不是百分之百的同意這個漏洞級別：

首先，我們快速檢查一下誰可以在Windows 10 1703工作站上使用Get-PSSessionConfiguration cmdlet 訪問到Remoting。

§ NT AUTHORITY INTERACTIVE（S-1-5-4）是登錄互動式操作的用戶。當進程以交互方式登錄時會將這個許可權添加到進程令牌中的組標識符。相應的登錄類型為LOGON32_LOGON_INTERACTIVE。（來源）

§ BUILTIN Administrators（S-1-5-32-544）

內置組。初始安裝操作系統後，該組的唯一成員是管理員帳戶。當計算機加入域時，域管理員組將添加到管理員組。當伺服器成為域控制器時，企業管理員組也將添加到管理員組（來源）

§ BUILTIN Remote Management Users（S-1-5-32-580） 內置本地組。該組的成員可以通過管理協議訪問WMI資源（例如通過Windows遠程管理服務進行WS-Management）。這僅適用於授予用戶訪問許可權的WMI命名空間。（來源）

上面列出的這三個組都可以通過Remoting進行連接，並且這些組的用戶已經擁有了計算機的管理許可權，或者是可以交互方式登錄（此時你已經是管理員或標準用戶）或者是屬於本地BUILTIN Remote Management Users的成員。

如果你還不是管理員，那麼你可以通過利用CVE-2017-8565這個漏洞獲取遠程會話最終成為管理員。

在這種情況下，我更願意將這類「遠程執行代碼」（RCE）的漏洞稱為特權提升（EoP）。

記住：

通過PowerShell調用代碼遠程處理是PowerShell Remoting的主要目的。

現在，假設我們添加了其他遠程配置，因為你已經使用RunAs帳戶（特權帳戶）實現了JEA（Just Enough Administration）或限制遠程終端以授權訪問某些（較少特權）的遠程用戶（通常是helpdesk組的成員）。

較小許可權的遠程用戶可以通過利用此漏洞獲得訪問（易受攻擊的）遠程配置/會話的許可權，然後獲得更多的許可權。

我們可以在PowerShell Core中看到有關此漏洞的更多詳細信息。開源項目的優點在於，它們在修復錯誤時往往更加透明和敏捷。

在PowerShell Core github存儲庫中，對於常規Windows版本的PowerShell發布安全更新的第二天，CIM解串器的問題就被引入了。

它在約三天內被修復。

你可以使用此鏈接查看相關的合併Pull請求。

我已經在安裝了KB4025342的Windows 10 1703上完全修補了這個漏洞。導入損壞的CIM類，並沒有啟動計算器進程。

我已經刪除了KB4025342並重新啟動了計算機

wusa.exe /uninstall /kb:4025342 /norestart

導入損壞的CIM類然後成功啟動了一個計算器進程。它的完整性標記為「AppContainer」，並且實際上具有了比其父進程（wsmprovhost.exe）級別設置為中等（作為標準用戶運行）的完整性級別。

導入損壞的CIM類和執行下面的命令具有相同的結果：

Invoke-Command -ComputerName . -EnableNetworkAccess { calc.exe }

到目前為止我沒有成功特權提升。

現在我們假設我添加了一個非常有限的端點（僅允許import-clixml和訪問filessystem提供程序）

$HT = @{ SchemaVersion = 1.0 ExecutionPolicy = Restricted SessionType = RestrictedRemoteServer LanguageMode = NoLanguage VisibleCmdlets = Import-Clixml VisibleProviders = FileSystem RunAsVirtualAccount = $true } New-PSSessionConfigurationFile -Path C:config.pssc @HT Register-PSSessionConfiguration -Path C:config.pssc -Name "Test" -Force

導入損壞的CIM類導致了逃離受限端點限制（「沙箱」）的能力，並在更高特權的帳戶下運行任意代碼。你可以看到wsmprovhost.exe在WinRM虛擬用戶下運行，具有高完整性級別，並且有兩個從其安全上下文繼承的子進程（cmd.exe和openwith.exe通過嘗試運行calc來觸發）：

在我看來，沒有必要因為這個漏洞感到恐慌。

任意代碼只能在某些特定場景中運行在更高的安全上下文中。

通過應用已經可用的Windows安全更新，可以輕鬆地修復此漏洞。

在Windows 7上，默認情況下，只有管理員才能通過Remoting進行連接：

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！