EE 4GEE Mini本地提權漏洞(CVE-2018-14327)分析
前言
我在前段時間從買了一個4G調變解調器。這是一個行動式4G WiFi移動寬頻調變解調器。有一天,我查看了安裝在電腦上的用於故障排除的服務,我看到了一個奇怪的服務,名為“Alcatel OSPREY3_MINI Modem Device Helper”。我想知道這是個什麼玩意,然後我想到這可能是我的EE 4G WiFi調變解調器。然後在谷歌上搜索了一會兒,這個調變解調器是阿爾卡特公司生產的。
然後出於好奇的角度查看了安裝的服務,發現存在一個漏洞。
C:\>sc qc "Alcatel OSPREY3_MINI Modem Device Helper" [SC] QueryServiceConfig SUCCESS SERVICE_NAME: Alcatel OSPREY3_MINI Modem Device Helper TYPE : 110 WIN32_OWN_PROCESS (interactive) START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Alcatel OSPREY3_MINI Modem Device Helper DEPENDENCIES : SERVICE_START_NAME : LocalSystem
但由於資料夾存在許可權問題,您不能直接編寫檔案。我一開始以為這並不是問題。但是當我查看了“EE40”資料夾和W00t的資料夾許可權!它被設定為“Everyone:(OI)(CI)(F)”,這意味著任何使用者都可以在該資料夾中讀寫、執行、建立、刪除任何內容,它是子資料夾。ACL規則具有OI物件繼承和CI容器繼承,這意味著該資料夾和子資料夾中的所有檔案都具有相同的許可權。
C:\Program Files (x86)\Web Connecton>icacls EE40 EE40 Everyone:(OI)(CI)(F) NT SERVICE\TrustedInstaller:(I)(F) NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files C:\Program Files (x86)\Web Connecton> C:\Program Files (x86)\Web Connecton> C:\Program Files (x86)\Web Connecton>icacls EE40\BackgroundService EE40\BackgroundService Everyone:(OI)(CI)(F) Everyone:(I)(OI)(CI)(F) NT SERVICE\TrustedInstaller:(I)(F) NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files
因為“ServiceManager。exe“是一個Windows服務可執行檔案,通過植入一個同名的惡意程式”ServiceManager.exe”將導致執行二進位制檔案為“NT AUTHORITY\SYSTEM”,在Windows作業系統中授予最高許可權。此漏洞可用於在本地Windows作業系統中升級特權。例如,攻擊者可以從一個低許可權的使用者帳戶中植入一個反向shell,通過重新啟動計算機,惡意服務將作為“NT AUTHORITY\SYSTEM”啟動,使攻擊者可以完全系統地訪問遠端PC。
修復韌體
易受攻擊的軟體版本為“EE40_00_02.00_44”:
在向EE報告了漏洞後,他們釋出了一個補丁來更新調變解調器。按照以下步驟將調變解調器更新到最新的補丁。1.進入路由器的預設閘道器:https://192.168.1.12.單擊“檢查更新”文字以更新韌體。更新後的補丁軟體版本為“EE40_00_02.00_45”,從您的計算機中刪除先前安裝的軟體。
手動修復洞
1. 在開始選單或執行提示符中輸入“regedit”,開啟Windows登錄檔編輯器。2.前往以下路徑:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper3. 向“ImagePath”值新增雙引號:"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start"
這也可以用這種方式來做。您必須開啟具有管理許可權的CMD提示符並執行此命令。對於64-bit Windows:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f對於32-bit Windows:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f
手動修復資料夾許可權
開啟CMD提示符,轉到Alcatel調變解調器服務的位置,然後輸入以下命令。
cd “C:\Program Files\Web Connecton\” icacls "EE40" /t /grant:r Everyone:(OI)(CI)R 披露時間表
05-07-2018: ZeroDayLab顧問(Osanda Malith Jayathissa)通過twitter向EE報告了這個問題05-07-2018:通過郵件向阿爾卡特彙報。12-07-2018: Osanda Malith Jayathissa聯絡MITRE。16-07-2018: CVE指定CVE-2018-14327。25-07-2018: EE通過電子郵件聯絡了Osanda Malith Jayathissa更多的技術細節。26-07-2018:致電Osanda Malith Jayathissa和EE進一步討論漏洞。26-07-2018: EE確認補丁將在一週內上線。03-08-2018: Osanda Malith Jayathissa聯絡EE更新補丁,EE表示他們將在8月10日週五之前提供更多資訊。10-08-2018: EE表示patch已經被推遲了,並且會通知Osanda Malith Jayathissa更新。23-08-2018: EE回覆了一個補丁更新,供Osanda Malith Jayathissa核實。ZeroDayLab顧問證實了補丁的成功執行。03-09-2018: EE通知Osanda Malith Jayathissa說補丁已經發布。