CrowdStrike：咱們是如何發現Win64bit提權0day漏洞（CVE-2014-4113）

颶風熊貓（HURRICANE PANDA）

颶風熊貓被認爲是原產於中國、主要針對基礎設施公司的先進攻擊者。咱們知道它們除了擁有0day漏洞外，還有其餘的三種本地特權提高漏洞。咱們知道颶風熊貓使用的是「ChinaChopper」Webshell，而一旦上傳這一Webshell，操做者就可試圖提高權限，而後經過各類密碼破解工具得到目標訪問的合法憑證。

Falcon Host提供徹底可視化的攻擊：發現本地權限提高漏洞（CVE-2014-4113）

from:CVE-2014-4113 

監測程序顯示從WEBSHELL使用Win64.exe來提高權限 

net localgroup administrators admin /add

 

net 命令已 Local System 權限執行： 

 

隨後分析Win64.exe二進制發現，它利用了一個0day 提權成SYSTEM用戶，而後建立具備這些訪問權限的新進程來運行參數中的命令。該文件自己只有55千字節大小，只包含幾個功能： 

1. 建立一個存儲部分，存儲一個將被內核調用的函數指針，觸發該漏洞。 
2. 利用窗口管理器的內存破壞漏洞，模擬用戶交互調用回調函數。 
3. 把EPROCESS結構中的訪問令牌指針替換爲系統進程之一。 
4. 以SYSTEM權限執行第一個參數中的命令。 

下圖演示瞭如何在cmd當中提高權限： 

 

該攻擊代碼寫的很是好，成功率爲100％。 

該win64.exe工具只在須要的時候上傳隨後馬上刪除。 

Win64.exe的編譯時間是2014年5月3日，該漏洞至少已經利用5個月了。 

這個工具還有一個有意思的地方是，內部有一個字符串爲「woqunimalegebi」 

 

該漏洞影響全部Windows x64，包括Windows 7 和 Windows Server 2008 R2 及如下版本。 

微軟已經發布安全公告以及補丁MS14-058

文章轉自互聯網，轉載請註明！