【微软漏洞分析】MS15-010 CNG 安全功能绕过漏洞 - CVE-2015-0010

最新推荐文章于 2023-12-13 14:52:32 发布
最新推荐文章于 2023-12-13 14:52:32 发布
阅读量664 收藏
点赞数
分类专栏: 微软漏洞分析 文章标签: 安全 microsoft 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/127692431
版权

目录

MS15-010

CVE-2015-0010 微软漏洞描述

下一代密码术 ( CNG ) 内核模式驱动程序 (cng.sys) 无法正确验证和强制执行模拟级别时,它存在安全功能绕过漏洞。攻击者可以通过诱使用户运行特制的应用程序来利用此漏洞,该应用程序旨在导致 CNG 不正确地验证模拟级别,从而可能使攻击者获得对超出本地用户访问级别的信息的访问权限。该安全更新通过更正内核模式驱动程序验证和实施模拟级别的方式来解决该漏洞。

此漏洞已公开披露。它已被分配通用漏洞和暴露编号CVE-2015-2010。

漏洞作者分析

函数 CryptProtectMemory 允许应用程序为以下三种情况之一加密内存:进程、登录会话和计算机。当使用登录会话选项(CRYPTPROTECTMEMORY_SAME_LOGON 标志)时,加密密钥是根据登录会话标识符生成的,这是为了在同一登录中运行的进程之间共享内存。由于这也可用于将数据从一个进程发送到另一个进程,因此它支持从模拟令牌中提取登录会话 ID。

问题是 CNG.sys 中的实现在捕获登录会话 id(使用 SeQueryAuthenticationIdToken)时不检查令牌的模拟级别,因此普通用户可以在标识级别模拟并解密或加密该登录会话的数据。

CryptProtectMemory 是一个 API,您应该使用它来保护临时数据,例如内存中的密码或加密密钥。内存的实际密钥存储在内核中,因此用户模式程序不应直接访问它。保护分为三个级别:

  1. 仅当前进程
  2. 当前登录会话
  3. 当前计算机

此问题仅影响 2,如果您使用与另一个登录会话(例如本地系统的会话)绑定的令牌进行模拟,您可以加密和解密内存。内核驱动程序缺少模拟级别检查,因此普通系统用户可以在标识级别模拟并解密在本地系统登录会话中加密的数据。此模拟级别不为普通用户提供任何额外的权限。
问题描述没有提供可访问加密数据的具体示例,但它可能会在许多地方泄漏,例如共享内存部分或临时文件。因此,问题的最终严重性取决于哪些数据可以被解密或加密,以及您可以用它做什么(想想数据是否是另一个用户的密码)。

补丁分析

我们这里以windows 7的x86的补丁分析,补丁解开之后的目录列表如下:
在这里插入图片描述
因为MS15-010涉及到多个漏洞,我们这里的CVE-2015-0010仅仅涉及到lsa,查看lsa的目录的文件列表如下:
在这里插入图片描述

重点查看补丁文件为:

  • \x86\lsa_6.1.7601.18719
    • cng.sys

cng.sys

主要包括一个更新函数:

  1. CngEncryptMemory

CngEncryptMemory

更新前

int __stdcall CngEncryptMemory(void *a1, unsigned int a2, int a3, int a4)
最低0.47元/天 解锁文章
3riC5r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MS15-010提权神器
09-24
MS15-010提权神器.shell提权,2015最新提权
Windows 任务计划程序中的漏洞可能允许安全功能绕过
b571013930的专栏
11-06 685
Windows漏洞
[0day在野利用] CVE-2020-17087: Microsoft cng.sys权限提升漏洞通告
爱国小白帽
11-02 1807
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110203 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-02 0x01 漏洞简述 2020年11月02日,360CERT监测发现 Google Progect Zero 发布了 Winodws cng.sys 提权漏洞 的技术细节和验证POC,该漏洞编号为 CVE-2020-17087 ,漏洞等级:高危,漏洞评分:7.8。 未授权的攻击者通过 诱使用户
Windows DPAPI 数据加密保护接口详解
xiaoqing_2014的专栏
03-13 8486
1 什么是DPAPI    DPAPI是Windows系统级对数据进行加解密的一种接口,无需自实现加解密代码,微软已经提供了经过验证的高质量加解密算法,提供了用户态的接口,对密钥的推导,存储,数据加解密实现透明,并提供较高的安全保证。     DPAPI提供了两个用户态接口,`CryptProtectData`加密数据,`CryptUnprotectData`解密数据,加密后的数据由应用程序负责安...
不得不看:Windows Data Protection
weixin_34050519的博客
01-07 316
Windows Data Protection   NAI Labs, Network Associates, Inc. October 2001 Summary: This article discusses how to use Data Protection application programming interface (DPAPI) and how DPAPI operat...
HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635) 漏洞修复
08-21
Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CVE-2015-1635)
CVE-2015-1635、MS15-034(Http.sys的利用工具)
11-10
利用 Http.sys 驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于...
ms15-034漏洞监测脚本
05-09
可以通过使服务器蓝屏崩溃监测服务器是否存在漏洞,以便修改加固。
MS15-034 HTTP.sys远程执行代码漏洞(原理扫描)
11-16
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2015/ms15-034 如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新不适用于您的计算机”的问题,这...
电子取证中Chrome各版本解密Cookies、LoginData账号密码、历史记录
最新发布
toto的博客
12-13 4185
本文主要分析总结了Chrome各版本对于Cookies、LoginData登录信息以及历史记录的加解密过程,使用masterkey解密80.X以前的版本的DPAPI加密以及使用 LocalState文件对于80.X以后的版本的AES-256-GCM进行解密
python的常见命令注入威胁
12-25
ah!其实没有标题说的那么严重! 不过下面可是我们开发产品初期的一些血淋淋的案例,更多的安全威胁可以看看北北同学的《python hack》PPT,里面提及了不只命令执行的威胁,那些都是我们亲身经历的代码。 千万要记得执行命令的时候,不要信任其他传入数据就行了,既然意识到问题,那么修复方法是多种多样的。 在我们的系统中,多处出现问题然后修修补补是不靠谱的,那么我们需要一个通用的安全执行接口,这个接口过后更新进来。 此外,我们在开发新功能的时候,也要掌握安全编程的规范技巧,这些技巧不局限在命令执行安全。 总结了一下,就是一下几点要素啦: •命令执行的字符串不要去拼接输入的参数,非要拼接的话,要对
Web权限&权限划分
weixin_54882883的博客
08-29 1513
后台或网站权限后的获取途径:后台(修改配置信息功能点),网站权限(查看的配置文件获取),系统中 API 暴露到互联网上会存在一定的安全风险,: 爬虫、恶意访问等等。操作数据库的权限,数据库的增删改等,源码或配置文件泄漏,也可能是网站权限(webshell)进行的数据库配置文件读取获得。那么权限提升他的意义就是:当前的权限无法满足需要的操作,通过权限提升的技术,提升当前的权限来实现想要的操作。Web权限其实就是网站权限,获取Web权限其实就是获取这个网站的权限。管理员UID为0:系统的管理员用户。...
windows逆向工程学习
sffdsafsf的专栏
11-20 1927
什么是逆向工程 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,以反汇编阅读源码 的方式去推断其数据结构、技术实现流程。特别是当手里没有合适的文档资料,而你又很需要实现某个技术功能的时候。   常用软件 OllyDbg:常用于动态调试程序,无法调试内核,UI功能强大。 SoftICE:工作在ring0态的调试器,常用于调试驱动程序,功能强大的命令...
Windows密码服务框架(CNG)介绍
cqwei1987的博客
06-29 2326
本文对微软新一代密码应用接口Windows CNG进行介绍,并对其密码原语、密钥存储两个部分的特点、安全性进行分析
Windows10系统 system_service_exception 蓝屏错误
热门推荐
Hern(宋兆恒)
07-18 11万+
错误描述:系统服务错误 原因:主板驱动与Windows10系统存在兼容问题,系统上正在运行的某个软件与系统、主板存在兼容性问题。 解决方法:1、升级主板驱动。                   2、关闭BIOS的虚拟处理器(CPU  VT)技术。                   3、卸载蓝屏之前启动的那个软件(要确定是这个软件导致的蓝屏,重启电脑,再次运行该软件是否蓝屏,若是则卸载该...
7天期限已过,谷歌披露已遭利用的 Windows 内核 0day 详情
smellycat000的专栏
11-02 296
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队上周五,谷歌安全研究员发现了已遭在野利用的一个 Windows 0day。谷歌 Project Zero 团队主管 Ben ...
MS15-051 修正版Exploit(Webshell可用)
大方子
10-06 1255
MS15-051简介:Windows 内核模式驱动程序中的漏洞可能允许特权提升 (3057191) , 如果攻击者在本地登录并可以在内核模式下运行任意代码,最严重的漏洞可能允许特权提升。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 远程或匿名用户无法利用此漏洞。 官方表示该漏洞影响的操作系统有: Wi...
利用ms17-010漏洞提权
MzHeader的博客
03-27 3938
一、打开kali和win7查看IP。 (1) Windows7作为靶机 IP:192.168.43.109 (2) Kali作为攻击机(最新版kaili) IP:192.168.43.49 二、打开kali进入终端输入nmap +IP查看靶机是否开启445端口。 三、在kali中输入 msfconsole(等待一会可能会有点慢) 四、进入后输人search ms17-010(搜素攻击模块) 五...
MS17-010注意事项
skynet_x的博客
12-14 999
1.win7 x86效果不好,不稳定,原因不明 2.目标是win7 x86时用reverse_tcp时必须用lport=4444,本机的端口为4444 3.目标是win7 x86时用bind_tcp时必须用lport=4444,目标的端口为4444 4.lsass.exe在x86平台下会导致目标机器重启,换成explorer.exe(或wlms.exe) 5.目标系统为x64位系统最好设置...
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)【原理扫描】
05-24
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)是一种存在于HTTP协议栈中的安全漏洞,可以导致远程攻击者在未经身份验证的情况下以SYSTEM权限执行任意代码。攻击者可以通过发送特制的HTTP请求来利用该漏洞。 该漏洞的原理是在HTTP.sys驱动程序中存在一个缓冲区溢出漏洞,攻击者可以通过发送特制的HTTP请求来触发该漏洞。当HTTP.sys驱动程序接收到特制的HTTP请求时,它会尝试解析请求头,并将其复制到缓冲区中。但如果请求头中包含了一些特定的数据,就会导致缓冲区溢出,从而使攻击者能够执行任意代码。 为了检测该漏洞,可以使用一些漏洞扫描工具,如Nessus、OpenVAS等。这些工具可以通过发送特制的HTTP请求来检测目标系统是否存在该漏洞。 同时,为了防止该漏洞的利用,可以采取以下措施: 1. 安装Microsoft发布的安全补丁; 2. 禁用WebDAV; 3. 配置网络防火墙,限制HTTP请求的访问权限; 4. 使用WAF(Web应用程序防火墙)等安全设备,对HTTP请求进行过滤和检查。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值