Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보Microsoft 작업스케줄러 ALPC 에서 발생한 제로데이
작성일 2018-08-31 조회 1977

 

 

 

개요

SandboxEscaper 트위터 계정에 의해 제로데이 취약점이 Public 하게 공개되었습니다.

Microsoft Windows 작업 스케줄러에는 ALPC (Advanced Local Procedure Call) 인터페이스에 로컬 권한 승격 취약점이 존재하여 로컬 사용자가 SYSTEM 권한을 얻을 수 있습니다.

 

 

 

공격 설명

Microsoft Windows 작업 스케줄러 인 SchRpcSetSecurity API 에는 인증 된 사용자가 파일 시스템 ACL로 보호 해야 하는 파일의 내용을 덮어 쓸 수 있는 ALPC 취약점이 있습니다. 이를 통해 SYSTEM 권한을 얻을 수 있습니다. 

 

Exploit 코드가 64 비트 Windows 10 및 Windows Server 2016 시스템에서 정상적으로 작동 합니다. 이외에 소스코드 변경을 통해 32 비트 및 다수의 Window에서 작동이 가능할 것으로 보입니다.

 

[그림1. Exploit 전, 출처 - https://hunter2.gitbook.io/darthsidious/privilege-escalation/alpc-bug-0day]

 

[그림2. Exploit 후, 출처 - https://hunter2.gitbook.io/darthsidious/privilege-escalation/alpc-bug-0day]

 

 

공격 영향

인증 된 로컬 사용자는 상승 된 (SYSTEM) 권한을 얻을 수 있습니다.

 

 

해결 방법

Microsoft Sysmon 탐지 규칙 배포, Kevin Beaumont

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f

 

 

명령어를 이용 (공식적이지 않음)

icacls c:windows asks /remove:g "Authenticated Users"

icacls c:windows asks /deny system:(OI)(CI)(WD,WDAC)

 

Windows 10 1803 - 64bit 에서는 패치 완료

https://twitter.com/0patch/status/1035139991591165952

 

 

참조

https://www.kb.cert.org/vuls/id/906424

https://hunter2.gitbook.io/darthsidious/privilege-escalation/alpc-bug-0day

https://github.com/SandboxEscaper/randomrepo/blob/master/angrypeoplebug.rar

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f

 

 

첨부파일 첨부파일이 없습니다.
태그   ALPC  작업스케줄러  Advanced Local Procedure Call  SandboxEscaper