CVE-2019-6177:Lenovo Solution Center权限提升漏洞

2019-08-29 8,677

概述:

        Lenovo Solution Centre(LSC)是Lenovo为Think产品新发布的一款应用软件,该软件可以快速诊断系统健康状况、网络连接、系统安全情况。同时LSC在许多Windows系统的联想设备中都是预装软件。研究人员在LSC软件中发现了一个权限提升漏洞。

image.png

详细介绍:

        Lenovo称SLC自2011年发布,但在2018年11月30日已经官方结束了生命。所以当该漏洞被发现的时候,可能已经影响所有安装了LSC的联想设备8年了。

该漏洞其实是一个DACL覆写漏洞,也就是说高权限的联想进程可以随意地覆写低权限的用户可以控制的文件的权限。

        高权限的进程可以给所有用户对该文件的系统完全控制权限。在该场景中,低权限的用户可以对可控制的位置写硬链接,一个指向系统中其他低权限用户无法控制的文件的伪随机文件。当Lenovo进程运行时,就会覆写硬链接的文件的权限,让低权限用户控制本来不允许控制的文件。攻击者也可以以Administrator或SYSTEM权限执行任意代码。

        研究人员建议安装了LSC的联想设备用户,卸载它。研究人员将该漏洞提交给了联想,而LSC已经结束了生命,但最终还是被分配了CVE编号CVE-2019-6177。联想官方通告称:

DACL覆写是一个简单的Windows权限提升技巧,高权限的进程可以覆写低权限用户控制的文件的DACL。为了成功利用该漏洞,要覆写文件的DACL来取消对权限的限制,比如给低权限的用户组写/编辑权限。

        LSC安装后,会在\Lenovo\Lenovo Solution Center Launcher加一个任务,该任务是以最高权限运行的。可以在任务管理器中查看:

image.png

        该任务会在login事件后10分钟运行LSC.Services.UpdateStatusService.exe二进制文件。

image.png

        二进制文件会覆写C:\ProgramData\Lenovo\LSC\log\目录的所有文件的DACL,给认证用户组(Authenticated Users)中的所有成员完全访问权限。所以Authenticated Users中的所有成员都会有这些文件的访问权限。

        为了成功利用该来的,需要在C:\ProgramData\Lenovo\LSC\log\目录创建一个硬链接文件,该文件会链接到要覆写权限的文件。
        比如,在目录中创建一个任意名的文件,然后硬链接它到系统host文件:

CreateHardlink.exe “C:\ProgramData\Lenovo\LSC\log\2019-01-01.log” “C:\Windows\System32\drivers\etc\hosts”

        然后登出再登陆,10分钟后,host文件的DACL就被覆写了:

image.png

        为了武器化该漏洞,可以覆写以SYSTEM权限运行的进程加载的DLL的DACL,然后用shellcode覆写DLL,并触发该进程。

        联想官方给出的回应是:联想已经不再支持Lenovo Solution Center,建议客户2018年4月发布的Lenovo Vantage或Lenovo Diagnostics。而LSC最后发布的时间为2018年10月15日。

image.png


原文地址:

https://www.pentestpartners.com/security-blog/privesc-in-lenovo-solution-centre-10-minutes-later/



本文作者:ang010ela

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/111592.html

Tags:
评论  (0)
快来写下你的想法吧!

ang010ela

文章数:56 积分: 711

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号