江苏龙网

  1. 首页 > 人文 > >

大数据&云计算利用Symantec Endpoint Protection中的任意文件移动


Symantec Endpoint Protection(SEP)用户域服务公开的RPC端点之一中存在本地特权升级漏洞 , 有特权的本地用户可以利用此功能执行任意代码 。 任意文件移动允许用户将文件从一个受控位置移动到另一个位置 , 这可被利用来在SYSTEM上下文下获得任意代码执行 。 此漏洞已通过ZDI被公开 , 分别是ZDI-20-228和CVE-2020-5825 , 已在SEP的14.2.5569.2100版本中修复 。 大多数系统现在应该已经自动打补丁了 , 但是用户需要立即修补 。
【大数据&云计算利用Symantec Endpoint Protection中的任意文件移动】该漏洞是由FusionX研发团队独立发现的 , 并于2020年初由z0mb1e披露给ZDI 。
分析过程
SEP的体系结构可以通过下图描述:
大数据&云计算利用Symantec Endpoint Protection中的任意文件移动
本文插图
使用14.2.5323.2000版本执行所有分析 , 虽然在这个小版本之后出现了一些架构上的变化 , 但它们还不足以改变上述的架构 。
SymCorpUI是用于与SEP接口、检查策略、启动扫描和更改本地实例的用户界面GUI 。 几乎所有的请求都通过COM对象代理回ccSvcHst进行处理 。 这个特权服务ccSvcHst是SEP的本地hivemind , 处理所有扫描、配置、隔离等的执行 。
ccSvcHst服务有各种各样的输入界面 , 包括COM对象(LocalServer和InprocServer)、RPC端点、TCP端口、扩展的服务控制代码等 。 它另外接口与大约13个不同的内核驱动程序通过IO控制代码加载的应用程序 。
漏洞从ccSvcHst暴露的RPC服务器开始被发现 , 任何经过身份验证的本地用户都可以连接到它 。 它注册了六个函数 , 如下面的IDL所述:
大数据&云计算利用Symantec Endpoint Protection中的任意文件移动
本文插图
为了调用它们 , 我们首先必须获得一个上下文句柄 。 这允许ccSvcHost跟踪RPC调用之间的状态信息 , 无论它们是直接到RPC服务器、COM还是通过其他传输 。 你可以在这里阅读更多关于MSDN上RPC上下文句柄的信息 。 在我们的例子中 , Proc0是用于获取上下文句柄的函数 。 我们首先需要生成唯一的GUID并将其发送到服务 , 然后将使用它来跟踪我们的会话 。
为了获得句柄 , 我们向Proc0函数发送一个经过设计的缓冲区:
大数据&云计算利用Symantec Endpoint Protection中的任意文件移动
本文插图
lpHandle现在将包含一个上下文句柄 , 要使调用成功 , 必须将其传递给每个RPC函数 , 我们待会儿再讲这些 。
除了这些函数调用之外 , RPC服务器还注册了五个不同的端点 。 它们由每次启动服务时动态生成的GUID表示 , 可以从注册表中提取当前端点:
大数据&云计算利用Symantec Endpoint Protection中的任意文件移动
本文插图
每个端点都有注册的通道 , 也可以从注册表中提取通道:
大数据&云计算利用Symantec Endpoint Protection中的任意文件移动
本文插图
但是在五个RPC端点之间注册了大约37个通道 。 可以通过标准的win32 RPCRT4函数连接到RPC端点 , 有关详细信息 , 其详细信息可以在附带源代码的CreateBindingHandle函数中找到 。
通道在运行时向ccIPC.dll注册 , 该文件充当系统服务加载的RPC服务器 。 然后 , 每个通道都会注册一个命令处理程序 , 该命令处理程序使其可以在调用期间动态地处理请求 。 通道可以根据需要注册任意数量的命令处理程序 。 该架构总结如下:
大数据&云计算利用Symantec Endpoint Protection中的任意文件移动
本文插图
由AVHostPlugin.dll托管的由字符串{BFADC982-75E5-497A-A114-95856CCE9A33}标识的一个通道注册了一个名为CRTVScanIPCCommandHandler的处理程序 , 并处理四个不同的命令:HandleStillInfectedOpState , HandleOpState , KickOffSMRScan和DoCOM 。 最终处理程序DoCOM由子处理程序ProcessOneRequest提供服务 , 它提供了对大约40个附加函数的支持 。 其中的COM_ACT_ON_FILE是子命令类型17 , 它支持5个子命令:移动文件、重命名文件、删除目录、解除链接和某种类型的文件加密/解密功能 。 下面是子命令处理程序的相关部分:


推荐阅读


上一篇:nba|34分大胜!头号球星首节零分,全场26+7,他是国内最佳后卫

下一篇:国际足球|同城死敌主帅为皇马发声,他们点球多是因为进攻多!