CrowdStrike发现Win64bit提权0day (CVE-2014-4113)

2014-10-15 10,590

 

HurricanePanda297

 

 

 

 

 

 

 

 

 

监测程序显示从WEBSHELL使用Win64.exe来提升权限 

net localgroup administrators admin /add
HurricanePanda11
 

net 命令已 Local System 权限执行: 

 HurricanePanda2

随后分析Win64.exe二进制发现,它利用了一个0day 提权成SYSTEM用户,然后创建具有这些访问权限的新进程来运行参数中的命令。该文件本身只有55千字节大小,只包含几个功能: 

1. 创建一个存储部分,存储一个将被内核调用的函数指针,触发该漏洞。 
2. 利用窗口管理器的内存破坏漏洞,模拟用户交互调用回调函数。 
3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。 
4. 以SYSTEM权限执行第一个参数中的命令。 

下图演示了如何在cmd当中提升权限: 

 HurricanePanda5

 

 

 

 

 

 

 

 


该攻击代码写的非常好,成功率为100%。 

该win64.exe工具只在需要的时候上传随后立刻删除。 

Win64.exe的编译时间是2014年5月3日,该漏洞至少已经利用5个月了。 

这个工具还有一个有意思的地方是,内部有一个字符串为“woqunimalegebi” 

 Bolivian_Alpaca

 

 

 

 

 

 

 

 



该漏洞影响所有Windows x64,包括Windows 7 和 Windows Server 2008 R2 及以下版本。 

微软已经发布安全公告以及补丁MS14-058

rule CrowdStrike_CVE_2014_4113 {
meta:
copyright = "CrowdStrike, Inc"
description = "CVE-2014-4113 Microsoft Windows x64 Local Privilege Escalation Exploit"
version = "1.0"
last_modified = "2014-10-14"
in_the_wild = true
strings:
$const1 = { fb ff ff ff }
$const2 = { 0b 00 00 00 01 00 00 00 }
$const3 = { 25 00 00 00 01 00 00 00 }
$const4 = { 8b 00 00 00 01 00 00 00 }
condition:
all of them
}

 

From: CrowdStrike Discovers Use of 64-bit Zero-Day Privilege Escalation Exploit (CVE-2014-4113) by Hurricane Panda

 

================================================================================

更新 Update

//2014.10.18:大家求的cve2014-4113-Exploit既然有人放出来了,小编赶紧共享出来

cve2014-4113-Exploit-2

 

 

 

 

 

 

 

下载地址:戳这里 (密码secpulse)

cve2014-4113-Exploit-1

 

 

 

 

 

 

 

Tags:
评论  (7)
快来写下你的想法吧!

SP小编

文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号