歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

如何啟用Hyper-V技術獲取系統權限

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

本文,我將向你展示如何在啟用了HYPER-V并成為特殊的“HYPER-V管理員”Windows組的成員的情況下,獲得Windows設備上的系統高級權限,在本文的示例中是一個完全修補過的win10。也就是說,Hyper-V管理員就像真正的管理員一樣。
但就其本質來說,Hyper-V管理員僅是一個特殊的組,它“僅”向標準用戶授予管理Hyper-V環境(創建,刪除,啟動,停止VM等)的可能性,但在底層操作系統上則不會賦予其高級權限。https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/use/manage-virtual-machines
想象一下,當我們(我和我的朋友@padovah4ck)發現,在VM刪除過程中,可以很容易地通過硬鏈接使用帶有系統權限的任意文件覆蓋時,我們有多么驚訝!
當你創建一個虛擬機時,將對虛擬硬盤文件(.vhdx)進行“SetSecurity”調用,以便向特殊SID授予讀寫權限:
1. Microsoft Hyper-V Virtual Machine Bus Provider (S-1-15-3-1024-2268835264-3721307629-241982045-173645152-1490879176-104643441-2915960892-1612460704)
2. NT Virtual machine\


注意,VM的創建者(用戶“simple”,本例中是Hyper-V Admin的成員)對文件有完全的控制。
這些操作由“vmms.exe”進程(Hyper-V管理服務)執行,該進程以系統用戶身份運行,但在此操作期間模擬當前用戶(在本例中為“simple”):

到目前為止,沒有什么奇怪或可利用的。但是,當你刪除VM時,事情變得越來越有趣,vmms.exe嘗試重置(不刪除).vhdx文件的原始權限。在此過程中,不進行任何模擬,因此由系統完成!

此時,該利用硬鏈接發起攻擊了!
如果你刪除了.vhdx文件并將其替換為指向受系統保護的目標文件的本地硬鏈接,那么你應該在VM刪除期間授予自己對該文件的完全訪問權,不是嗎?
我們來看一下:在此示例中,我將向用戶“simple”授予“license.rtf”文件的完全控制權,該文件通常僅對標準用戶只讀:

我在powershell中上傳了一個小的POC,它可以自動完成整個過程,你可以在此https://github.com/decoder-it/Hyper-V-admin-EOP下載。
一旦你完全控制了一個系統文件,EOP就是一個簡單的任務,例如,你可以用它來覆蓋printconfig.dll
披露時間表
我們已經于2019年10月10日向MSRC提交了我們的調查結果。幾天后,他們回答說,他們能夠重現這個問題,并將在2020年2月修復它。另外,我們還發現了另一個類似的“漏洞”,總是在Hyper-V管理(2019年11月7日),但這一次是任意刪除。照例,我們也通知了這個調查結果。
但讓我們驚訝的是,在2020年1月10日,我們得到了MSRC的官方回復,告訴我們他們不會修復這兩個漏洞,主要是因為Hyper-V管理員不再被認為是一個“安全邊界”。以下為原文:
經過廣泛的調查,工程團隊已經確定,你的報告雖然有效,但我們不能通過安全更新來解決。這樣做的原因是Hyper-V管理員組并不是一個安全邊界,類似于我們證明Administrator-to-Kernel不是安全邊界(https://aka.ms/windowscriteria)的方式。在調查過程中,我們發現了一些在未來版本中可能會加強的地方,但是由于Hyper-V管理員組的工作方式,在不影響功能的情況下,沒有可行的方法來阻止你所報告的技術。
說實話,我不同意,Hyper-V管理組應該被認為是一個安全邊界,通過濫用程序的錯誤配置/錯誤行為來獲得系統權限肯定不是故意的。
我真不理解他們為什么不修復它,在我看來,他們只需要在刪除VM時模仿用戶,就像在創建VM時一樣。
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 上海体彩网 十一选五 股票直播平台 广东11选5技巧绝招 3d试机号后分析预测汇总 山东11选5一定牛 宁夏十一选五任五遗漏 如何看股票涨跌 2019年股票配资平台排行 加拿大快乐8最快开奖 山东11选5小郭