CVE-2023-36874 Windows错误报告服务漏洞复现(包含环境搭建,复现过程,技术分析,补丁分析)

已于 2024-09-15 18:31:03 修改
阅读量567 收藏 16
点赞数 11
文章标签: 网络安全 web安全 安全
于 2024-09-15 18:20:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46624929/article/details/142246108
版权

漏洞描述:

Windows错误报告服务是一项用于收集和分析系统和应用程序错误的服务。

经过身份认证的本地攻击者可以构造恶意程序触发该漏洞,成功利用此漏洞可以提升权限至SYSTEM或造成系统崩溃。

影响范围:

  • Windows 10
  • Windows Server 2012 R2 (Server Core Installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core Installation)
  • Windows Server 2012
  • Windows Server 2008 R2 For X64-based Systems Service Pack 1 (Server Core Installation)
  • Windows Server 2008
  • Windows Server 2008 For X64-based Systems Service Pack 2 (Server Core Installation)
  • Windows 11
  • Windows Server 2022 (Server Core Installation)
  • Windows Server 2022
  • Windows Server 2019 (Server Core Installation)
  • Windows Server 2008 For 32-bit Systems Service Pack 2 (Server Core Installation)
  • Windows Server 2016 (Server Core Installation)
  • Windows Server 2016

环境搭建:

复现环境使用windows10操作系统,iso镜像来源为:

MSDN, 我告诉你 - 做一个安静的工具站

虚拟机的安装可以参考我的另一篇博客 ,这里给出密钥

KH2J9-PC326-T44D4-39H6V-TVPBY

TFP9Y-VCY3P-VVH3T-8XXCC-MF4YK

MS08-067漏洞复现2024,包含环境搭建,流量分析-CSDN博客

漏洞复现:

这里感谢一下auturora师傅对我的一些指导

1.windows10 需注册一个低权限的账户,权限不为admin

(后面使用会报错)

2.下载github上的poc

地址:GitHub - Wh04m1001/CVE-2023-36874

3.Poc使用

需要下载visual sutdio 并在安装时选择C++的相关支持程序,安装成功后可以在搜索栏搜索到”x64 Native Tools Command“

我们切换到下载好的POC目录
切换硬盘需要输入“盘符:” DIR 命令查看当前目录,只有切换盘符后才能用cd命令切换到poc目录

输入以下命令编译C++文件(记得关闭终端杀毒,火绒,windows自带病毒防护等)
## 打包. res文件
rc.exe Resource.rc

## 编译主文件
cl main.cpp /EHsc /DUNICODE /link ole32.lib oleaut32.lib Resource.res

## CD到wermgr目录wermgr.exe打包

cl main.cpp /EHsc /DUNICODE /Fewermgr.exe
编译后的wermgr. exe,在C:\下新建test\System32文件夹。
复制到c:\test\system32\wermgr.exe
切换到虚拟机低权限用户执行main.exe

提权成功!

注意事项:复现流程必须使用低权限账户否则执行报错

须在本机安装C++编译环境

技术细节:

WER服务是一项特权服务,其作用是分析和报告Windows主机上可能出现的各种软件问题。该服务可以通过几个未记录的 COM 接口进行交互,这些接口可以在. 特别是,通过链接以下函数调用,可以获得指向COM 接口的指针:wercplsupport.dllIWerReport
CoCreateInstance(CLSID_ERCLuaSupport, NULL, CLSCTX_LOCAL_SERVER, IID_IErcLuaSupport, (PVOID*)&pIErcLuaSupport);pIErcLuaSupport->CoCreateIWerStoreFactory(&pIWerStoreFactory);pIWerStoreFactory->CoCreateIWerStore(&pIWerStore);pIWerStore->EnumerateStart()

  1. pIWerStore->LoadReport(<reportName>, &pIWerReport); 其中 reportName 是包含要处理的 WER 报告的目录的名称

作为调用的结果,WER 服务将调用来自 的函数。在未分析的情况下,这最终会导致调用该函数,该函数本身会调用API 以启动可执行文件。
该漏洞的核心问题在于,在模拟下运行的 CreateProcess API 将遵循威胁参与者设置的任何文件系统重定向,但将使用调用进程安全令牌而不是模拟令牌来设置进程的安全上下文。对于 WER 服务,在进程创建时确实存在模拟。这意味着,如果先前的文件系统重定向指向攻击者控制的可执行文件,则将执行该可执行文件而不是合法的可执行文件。这允许攻击者控制的可执行文件以 WER 服务(即 SYSTEM)的权限运行。wermgrwermgr
在观察到的漏洞利用情况下,采取以下步骤来实现权限升级:
  1. 在目录中设置一个虚拟文件。该虚拟文件将在漏洞利用链开头的函数 中引用。Report.werC:\ProgramData\Microsoft\Windows\WER\ReportArchive\WER1CF4123IWerReport->SubmitReport
  2. 在目录下设置一个假根层次结构,以便文件系统重定向将指向攻击者文件而不是合法文件。在此层次结构中,漏洞利用程序会创建自身的副本以及内部的虚拟 WER 报告。C:\C:\Users\public\testC:\Users\public\test\Windows\System32\wermgr.exeReport.werC:\Users\Public\test\ProgramData\Microsoft\Windows\WER\ReportArchive\WER1CF4123
  1. 该漏洞利用程序会在系统上设置必要的文件,以便稍后成功利用。此步骤遵循两个不同的目标:
  2. 通过调用该函数创建从驱动器到的重定向,其中第三个和第四个参数分别指向和。当在目录中检测到更改时创建此重定向。C:\C:\Users\public\testNtCreateSymbolicLink \??\C:\GLOBAL??\C:\Users\Public\TestC:\\ProgramData\\Microsoft\\Windows\\WER\\ReportQueue
  3. 以参数形式触发。IWerReport->LoadReport()WER1CF4123
  4. 以参数形式触发。IWerReport->SubmitReport()WER1CF4123  
  5. 由于重定向,被执行而不是合法的. 漏洞利用二进制文件现在正在以高权限执行。C:\Users\public\test\Windows\System32\wermgr.exewermgr.exe

漏洞修复防御

可以根据useradd的行为做查杀

Windows 10 21H2 6月补丁分析

diff wercplsupport.dll,主要改了CWerComReport::SubmitReport,wercplsupport.dll是Windows error reporting 服务的主dll文件。对比发现补丁直接阻断了后续CAutoImpersonate::ImpersonateUserHighestPrivsCWerComReport::_SubmitReport的调用
__int64 __fastcall CWerComReport::SubmitReport(        CWerComReport *this,        unsigned __int16 *a2,        unsigned int a3,        struct IWerReportSubmitCallback *a4,        unsigned __int16 **a5,        unsigned int *a6){  int v10; // ebx  int v12; // [rsp+30h] [rbp-18h] BYREF  __int64 v13; // [rsp+38h] [rbp-10h]
  v13 = -2i64;  v12 = 2;  if ( !CAutoImpersonate::g_bEnableImpersonate    || (v10 = CAutoImpersonate::ImpersonateUserHighestPrivs((CAutoImpersonate *)&v12), v10 >= 0) )  {    v10 = CWerComReport::_SubmitReport((CWerComReport *)((char *)this - 24), a2, a3, a4, a5, a6);  }  CAutoImpersonate::~CAutoImpersonate((CAutoImpersonate *)&v12);  return (unsigned int)v10;}
// 修复代码__int64 __fastcall CWerComReport::SubmitReport(        CWerComReport *this,        unsigned __int16 *a2,        unsigned int a3,        struct IWerReportSubmitCallback *a4,        unsigned __int16 **a5,        unsigned int *a6){  int v11; // ebx  int v12; // [rsp+30h] [rbp-18h] BYREF  __int64 v13; // [rsp+38h] [rbp-10h]
  v13 = -2i64;  if ( (unsigned __int8)wil::details::FeatureImpl<__WilFeatureTraits_Feature_MSRC80633_DisableWerCplSupport>::__private_IsEnabled(&`wil::Feature<__WilFeatureTraits_Feature_MSRC80633_DisableWerCplSupport>::GetImpl'::`2'::impl) )    return 0x80004001i64;  v12 = 2;
  if ( !CAutoImpersonate::g_bEnableImpersonate    || (v11 = CAutoImpersonate::ImpersonateUserHighestPrivs((CAutoImpersonate *)&v12), v11 >= 0) )  {    v11 = CWerComReport::_SubmitReport((CWerComReport *)((char *)this - 24), a2, a3, a4, a5, a6);  }  CAutoImpersonate::~CAutoImpersonate((CAutoImpersonate *)&v12);  return (unsigned int)v11;}

参考文章

CVE-2023-36874 Windows 错误报告服务权限提升漏洞

Windows 错误报告服务特权提升漏洞 CVE-2023-36874 PoC

WINDOWS错误报告服务权限提升漏洞-CVE-2023-36874(复现) | Chen'Blog

神里流太刀术真传-神里绫华
关注
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-36874 Windows错误报告服务本地权限提升漏洞分析
qq_41252520的博客
08-29 1986
Windows错误报告服务在提交错误报告前会创建wermgr.exe进程,而攻击者使用特殊手法欺骗系统创建伪造的wermgr.exe进程,从而以system权限执行代码。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8482
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全】Cookie与ID未强绑定导致账户接管
最新发布
等风来
10-02 74
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-27 1173
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
国产操作系统(统信UOS)网络安全等级保护基础安全加固
2401_84434570的博客
09-26 1002
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令:sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令:dpkg -l libpam-pwquality。执行命令:vim etc/pam.d/common-passwd。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 785
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
【完-网络安全Windows注册表
Ryoujou的博客
09-29 298
Windows注册表
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-29 2043
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
2024年10月CISAW课程安排
2402_84109700的博客
09-27 375
数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,软考,CCSC网络安全能力认证办理。CISAW根据专业领域分为多个类别,如安全集成、安全运维、风险评估、应急服务、软件安全开发等,通过培训后可获得全国通用的信息安全保障人员认证证书。各方向的第一阶段和第二阶段培训本月将以线上。
15、网络安全合规由来与要素
weixin_43263566的博客
09-26 628
指服从、顺从和遵从的行为,强调使公司的经营活动与法律、监管及内部规则保持一致。合规涉及公司适应法律法规及社会规范等规则的经营行为。这一规定反映了合规在金融行业中的重要性,旨在确保银行在运营中遵循法律法规,维护金融系统的稳定与透明。1998年9月,巴塞尔银行监管委员会在《银行业组织内部控制体系框架》中,将“合法性和合规性”列为银行内部控制框架的重要要素之一。
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 1540
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】公钥基础设施
衍生星球的博客
09-29 567
在实施PKI之前,首先需要定义清晰的业务和技术需求。这一步骤是确保PKI系统成功实施的关键。业务需求:明确PKI将支持的业务流程和应用程序,例如安全电子邮件、SSL/TLS加密、电子签名等。技术需求:确定所需的技术参数,如加密算法、密钥长度、证书类型和生命周期。合规性需求:识别与行业标准和法规相关的要求,如PCI DSS、GDPR等。安全需求:定义安全策略和控制措施,确保PKI系统的安全性和可靠性。据调查,约80%的PKI实施失败是由于需求定义不明确所导致。因此,这一步骤对于PKI的成功至关重要。
工业控制过等保三级需要的网络安全设备及详细讲解
weixin_59571541的博客
09-30 640
在工业控制系统(ICS)的安全性日益受到重视的背景下,网络安全等级保护(过等保)三级作为一种重要的安全标准,对保障工业控制系统的安全运行有着重要的意义。过等保三级主要针对那些对安全性要求较高的系统,如电力、石油、化工等关键基础设施,以下是实现过等保三级所需的主要网络安全设备及其详细讲解。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-27 1691
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值