EE 4GEE Mini本地提權漏洞（CVE-2018-14327）分析

前言

我在前段時間從買了一個4G數據機。這是一個攜帶型4G WiFi移動寬頻數據機。有一天，我查看了安裝在電腦上的用於故障排除的服務，我看到了一個奇怪的服務，名為「Alcatel OSPREY3_MINI Modem Device Helper」。我想知道這是個什麼玩意，然後我想到這可能是我的EE 4G WiFi數據機。然後在谷歌上搜索了一會兒，這個數據機是阿爾卡特公司生產的。

然後出於好奇的角度查看了安裝的服務，發現存在一個漏洞。

C:>sc qc "Alcatel OSPREY3_MINI Modem Device Helper"
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: Alcatel OSPREY3_MINI Modem Device Helper
        TYPE               : 110  WIN32_OWN_PROCESS (interactive)
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:Program Files (x86)Web ConnectonEE40BackgroundServiceServiceManager.exe -start
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Alcatel OSPREY3_MINI Modem Device Helper
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

但由於文件夾存在許可權問題，您不能直接編寫文件。我一開始以為這並不是問題。但是當我查看了「EE40」文件夾和W00t的文件夾許可權!它被設置為「Everyone:(OI)(CI)(F)」，這意味著任何用戶都可以在該文件夾中讀寫、執行、創建、刪除任何內容，它是子文件夾。ACL規則具有OI對象繼承和CI容器繼承，這意味著該文件夾和子文件夾中的所有文件都具有相同的許可權。

C:Program Files (x86)Web Connecton>icacls EE40
EE40 Everyone:(OI)(CI)(F)
     NT SERVICETrustedInstaller:(I)(F)
     NT SERVICETrustedInstaller:(I)(CI)(IO)(F)
     NT AUTHORITYSYSTEM:(I)(F)
     NT AUTHORITYSYSTEM:(I)(OI)(CI)(IO)(F)
     BUILTINAdministrators:(I)(F)
     BUILTINAdministrators:(I)(OI)(CI)(IO)(F)
     BUILTINUsers:(I)(RX)
     BUILTINUsers:(I)(OI)(CI)(IO)(GR,GE)
     CREATOR OWNER:(I)(OI)(CI)(IO)(F)
     APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(RX)
     APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
     APPLICATION PACKAGE AUTHORITYALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
     APPLICATION PACKAGE AUTHORITYALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files
C:Program Files (x86)Web Connecton>
C:Program Files (x86)Web Connecton>
C:Program Files (x86)Web Connecton>icacls EE40BackgroundService
EE40BackgroundService Everyone:(OI)(CI)(F)
                       Everyone:(I)(OI)(CI)(F)
                       NT SERVICETrustedInstaller:(I)(F)
                       NT SERVICETrustedInstaller:(I)(CI)(IO)(F)
                       NT AUTHORITYSYSTEM:(I)(F)
                       NT AUTHORITYSYSTEM:(I)(OI)(CI)(IO)(F)
                       BUILTINAdministrators:(I)(F)
                       BUILTINAdministrators:(I)(OI)(CI)(IO)(F)
                       BUILTINUsers:(I)(RX)
                       BUILTINUsers:(I)(OI)(CI)(IO)(GR,GE)
                       CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                       APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(RX)
                       APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
                       APPLICATION PACKAGE AUTHORITYALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
                       APPLICATION PACKAGE AUTHORITYALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files

因為「ServiceManager。exe「是一個Windows服務可執行文件，通過植入一個同名的惡意程序"ServiceManager.exe"將導致執行二進位文件為「NT AUTHORITYSYSTEM」，在Windows操作系統中授予最高許可權。此漏洞可用於在本地Windows操作系統中升級特權。例如，攻擊者可以從一個低許可權的用戶帳戶中植入一個反向shell，通過重新啟動計算機，惡意服務將作為「NT AUTHORITYSYSTEM」啟動，使攻擊者可以完全系統地訪問遠程PC。

修復固件

易受攻擊的軟體版本為「EE400002.0044」：

在向EE報告了漏洞後，他們發布了一個補丁來更新數據機。按照以下步驟將數據機更新到最新的補丁。1.進入路由器的默認網關:http://192.168.1.12.單擊「檢查更新」文本以更新固件。更新後的補丁軟體版本為「EE40

手動修復洞

1. 在開始菜單或運行提示符中輸入「regedit」，打開Windows註冊表編輯器。2.前往以下路徑:ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAlcatel OSPREY3_MINI Modem Device Helper3. 向「ImagePath」值添加雙引號:"C:Program Files (x86)Web ConnectonEE40BackgroundServiceServiceManager.exe -start"

這也可以用這種方式來做。您必須打開具有管理許可權的CMD提示符並運行此命令。對於64-bit Windows：reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAlcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d ""C:Program Files (x86)Web ConnectonEE40BackgroundServiceServiceManager.exe -start"" /f對於32-bit Windows：reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAlcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d ""C:Program FilesWeb ConnectonEE40BackgroundServiceServiceManager.exe -start"" /f

手動修復文件夾許可權

打開CMD提示符，轉到Alcatel數據機服務的位置，然後輸入以下命令。

cd 「C:Program FilesWeb Connecton」
icacls "EE40" /t /grant:r Everyone:(OI)(CI)R

披露時間表

05-07-2018: ZeroDayLab顧問(Osanda Malith Jayathissa)通過twitter向EE報告了這個問題05-07-2018:通過郵件向阿爾卡特彙報。12-07-2018: Osanda Malith Jayathissa聯繫MITRE。16-07-2018: CVE指定CVE-2018-14327。25-07-2018: EE通過電子郵件聯繫了Osanda Malith Jayathissa更多的技術細節。26-07-2018:致電Osanda Malith Jayathissa和EE進一步討論漏洞。26-07-2018: EE確認補丁將在一周內上線。03-08-2018: Osanda Malith Jayathissa聯繫EE更新補丁，EE表示他們將在8月10日周五之前提供更多信息。10-08-2018: EE表示patch已經被推遲了，並且會通知Osanda Malith Jayathissa更新。23-08-2018: EE回復了一個補丁更新，供Osanda Malith Jayathissa核實。ZeroDayLab顧問證實了補丁的成功運行。03-09-2018: EE通知Osanda Malith Jayathissa說補丁已經發布。

*

參考來源osandamalith，由周大濤編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！