手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

OEM软件使笔记本电脑处于危险中

来源:本站整理 作者:佚名 时间:2019-07-09 TAG: 我要投稿

本文介绍如何利用该漏洞来加载任意未签名的DLL到SYSTEM权限运行的服务中,来实现权限提升和驻留。
PC-Doctor
允许SupportAssist访问敏感低级硬件的组件是由PC-Doctor公司开发的。该公司主要开发硬件诊断软件。下面主要介绍PC-Doctor公司开发的组件来描述漏洞,然后?#24471;?#22914;何利用该漏洞来访问物理内存这样的低级硬件。
Dell SupportAssist
Dell SupportAssist是大多数Dell电脑预装的软件。该软件可以检查系统硬件和软件的健康。健?#23548;?#26597;需要高权限级别的权限。为了以高级权限运行动作,签名的驱动会安装以及多个以SYSTEM运行的服务。
漏洞分析
研究人?#31508;?#20808;关注的是Dell Hardware Support,因为该服务是一个非常重要的服务,而且有对硬件访问的高级权限,因为有能力可以进行权限提升。Dell Hardware Support服务启动后,会执行DSAPI.exe和 pcdrwi.exe,都是以SYSTEM权限运行的:

然后,该服务会执行多个PC-Doctor可执行文件来收集关于操作系统和计算机硬件的信息。这些可执行文件其实都是普通的PE文件,但是扩展名为p5x。
这些可执行文件都会加载DLL库,可?#28304;硬?#21516;?#33041;?#26469;收集信息。一旦这些库被加载后,研究人员在ProcMon中发现:

从图中可以看出,3个p5x可执行文件尝试在c:\python27目录中?#39029;?#20197;下DLL文件:
· LenovoInfo.dll
· AlienFX.dll
· atiadlxx.dll
· atiadlxy.dll
DLL劫持漏洞
在研究人员的虚拟机中,c:\python27有一个允许所有?#29616;?#29992;户在ACL上写文件的ACL。这会使权限提升变得简单,并允许普通用户写丢失的DLL文件,并以SYSTEM权限进行代码执行。需要?#24471;?#30340;是,管理级用户或进程必须:
(1) 设置目录ACL来允许对非管理员用户账户的访问(2) 修改系统PATH变量来包含该目录为了测试该权限提升漏洞,研究人员编译了一个未签名的DLL将以下内容写入txt文件的文件名中:
· 执行的用户名
· DLL文件名

研究人员在重命名以下DLL时,该DLL是以SYSTEM权限加载和执行的
· LenovoInfo.dll
· atiadlxx.dll
漏洞根源分析
p5x模块使用了一个名为Common.dll的工具库,提供了包括加载dll文件选项这样的功能:

?#30001;?#22270;可以看出,该漏洞的两个根源在于:
· 缺乏安全的DLL加载。代码使用的是LoadLibraryW,而不是LoadLibraryExW,这样就允许未授权的用户来用特定的flag来定义搜索顺序,比如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。这样反过来会在自己的文件夹中搜索DLL,避免在PATH变量中搜索DLL。
· 没有对该二进制文件进行数字证书的验证。该程序并不会验证加载的DLL是否是签名的。因此,可以加载任意未签名的DLL文件。
漏洞利用
PC-Doctor签名的驱动
SupportAssist使用的是PC-Doctor签名的驱动(pcdsrvc_x64.pkms)来访?#23454;?#32423;的内存和硬件。
PoC – 读取物理内存
在加载到PC-Doctor的库中,p5x可执行文件是SysSpace.dll。该库提供一个强大的对物理内存读取的封装函数—— PhysicalMemory::read。该函数打开一个到驱动的handle,并发送相关的IOCTL来启动。下一步是?#39029;?#21457;送给该函数所需的?#38382;?#30740;究人员搜索了导入PhysicalMemory::read函数的DLL并使用它。
forfiles /M *.dll /C "cmd /c %userprofile%\amd64\dumpbin.exe /IMPORTS @file | findstr [email protected] && echo @file"153 [email protected]@[email protected]@@[email protected]@@Z"NVMeInfo.dll"153 [email protected]@[email protected]@@[email protected]@@Z"Quip.dll"
用IDA打开Quip.dll,提取调用该函数的实现:

然后加载SysSpace.dll,定义PhysicalMemory的constructor,并调用PhysicalMemory::read函数。
下面从物理内存中读取任意地址。
首先,用WinDbg Kernel Debugger检查物理地址的内容:

然后利用该漏洞来加载未签名的DLL,并将结果写入txt文件:

从中可以看出,可以将任意物理内存地址的内容写入。
潜在恶意使用和影响
SupportAssist是大多数运行Windows系统的Dell设备预装的软件。也就是说,该漏洞如果不修复,将影响数百万Dell PC用户。下面介绍攻击者可以利用该漏洞的2种潜在方?#20581;?br/> 签名的执行和白名单绕过
该漏洞给予攻击者被加载和执行恶意payload的能力。该能力可能会被攻击者滥用,比如进行执行和绕过,具体来说有应用白名单绕过和签名验证绕过。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
      • 最近下载
      购买彩票权威网址
      手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
      南粤36选7开奖走势 意甲罗马v萨索洛 寻仙手游结婚 巫师梅林彩金 彩票网站葡京 中国竞彩网足球 莱特币矿池 推荐 青龙出海怎么玩 皇家贝蒂斯对阵皇家社会 莱加内斯对巴拉多利德