当前位置:首页 > 话题广场 > 攻略专题 > 单机攻略

【avast许可文件】专题分析AVAST SecureLine VPN任意文件创建漏洞

0x00简介

Avast SecureLine VPN使您能够通过安全的Avast VPN服务器将internet连接到加密通道,从而保护用户的网络活动不受接收。

Avast SecureLine VPN增强了用户上网的安全性和隐私性,在连接到公共网络或者不安全的无线网络时很有用。

Avast SecureLine VPN服务默认在C:\ProgramData\AVAST Software\SecureLine\log下创建日志文件,文件是由Avast SecureLine服务的特权(SYSTEM)进程所创建、访问和操作的。日志和所在的文件夹都有宽松的访问权限,允许非特权用户创建/删除文件或更改属性。Avast SecureLine VPN 5.5.522.0版受影响,更低版本可能也受影响,但没测试过。漏洞在5.6.4982.470版修复。

0x01 漏洞分析

以高特权(如SYSTEM)运行且可对用户文件进行无限制操作的进程可能导致安全问题,这些特权进程可能被滥用从而执行不安全操作。多数特权程序会操作一些位于用户可访问位置的文件,根据这篇文章所述,以下是一些有意思的文件位置:

  • 用户专属的文件和文件夹,包括AppData和Temp目录,如果安装了杀毒软件的话,一些特权进程可能会使用这些文件和目录
  • 公共用户的文件和目录
  • 创建在C:\且带有默认ACL的目录:分区根目录下创建的文件夹默认拥有宽松的ACL,允许用户写入
  • C:\ProgramData下带有默认ACL的子目录:默认情况下,用户可以创建文件和目录,但不能修改已有项目。这个目录常常是攻击时首先考虑的。
  • C:\Windows\Temp的子目录:默认情况下,用户可以创建文件和目录,但不能修改已有项目,对其他用户所属的项目,也不能读取文件/访问文件夹。

文件和目录的权限可以用多种方法查看,比如Powershell的Get-Acl或者属性的安全选项卡。日志文件由SYSTEM进程创建,且对用户可写。通过滥用日志文件的创建,可以实现任意文件创建:非特权用户可以用指向任意文件的符号链接替换这些日志文件。当日志生成时,有特权的AVAST SecureLine VPN进程将会创建日志文件并设置其访问权限,这就给了我们写权限。AVAST SecureLine用的权限如下图所示:

可以用Process Monitor工具观察文件操作。一旦发现对用户可控的文件/目录的操作,我们就需要思考如何利用这些操作。James Forshaw提出了若干滥用Windows文件系统和路径解析功能的方法,还发布了一个符号链接测试工具集,给研究者做PoC用。有很多方法可以用来利用此类漏洞,包括:

  • NTFS目录连接
  • 硬链接
  • 对象管理器符号链接
  • 机会锁

低权限用户可以使用三种符号链接:

  • 对象管理器符号链接
  • 注册表键符号链接
  • NTFS挂载点

我用的是对象管理器符号链接来利用漏洞。@clavoillotte在他博客中提到,非特权用户可以在Windows对象管理器中创建符号链接,对象管理器管理进程、section、文件之类的对象。对象管理器用符号链接来把驱动器字符和命名管道与相应的设备关联起来。用户可以在可写的对象目录中创建对象符号链接,比如在\RPC CONTROL\中创建,这些符号链接可以指向任意路径——包括文件系统上的路径——不管这个路径是否实际存在。对象符号链接和NTFS目录链接结合起来十分有意思,非特权用户可以创建挂载点,使其解析到\RPC CONTROL\目录,而在这个目录中又有一个对象管理器符号链接。例如:

0x02 漏洞利用

非特权用户可以执行以下操作来利用漏洞:

  • 删除C:\ProgramData\AVAST Software\SecureLine\log中所有文件
  • 创建伪符号链接C:\ProgramData\AVAST Software\SecureLine\log\v,指向C:\Windows\System32\
  • 重启SecureLine服务,或者等待电脑重启,然后服务就会在C:\Windows\System32目录下创建任意文件

这导致任意内容文件创建漏洞,我们可以用符号链接来把一个特定日志文件重定向到任意文件,该文件名由攻击者选择,比如:

漏洞利用步骤:

删除日志目录下所有文件,用Powershell命令删除文件:

Remove-Item -Force "C:\ProgramData\AVAST Software\SecureLine\log\*"

用James Forshaw的CreateSymlink工具创建符号链接,所用命令:

Crea "C:\ProgramData\AVAST Software\SecureLine\log\v" C:\Windows\System32\

成功利用漏洞,在目标文件夹中创建了文件。

我写了PoC,代码在这里。要和James Forshaw的符号链接工具集一起编译。PoC需要管理员权限才能运行,因为启动/停止服务功能需要管理员权限,如何避免这点就留给读者实现吧。

0x03 漏洞披露时间线

漏洞是我飞韩国参加POC会议前几天发现的,我只花了几小时找漏洞和利用。2019年11月就已经报告了这个漏洞,遵守了AVAST的标准披露程序,时间线如下:

  • 2019-11-02——漏洞报告给AVAST安全团队(邮件)
  • 2019-11-05——厂商回复将调查漏洞
  • 2020-01-23——跟进漏洞。厂商确认漏洞并告知内部正在发生变动,所以修补可能要花费一些时间
  • 2020-03-02——再次跟进漏洞。厂商首要任务是杀毒软件,其次才是其他产品
  • 2020-05-18——跟进漏洞。厂商之前通知VPN产品的补丁会在五月底发布,但进展不顺利,所以推迟到六月
  • 2020-06-26——再次跟进漏洞。厂商告知周一将发布修补后的版本(即2020年6月29日)
  • 2020-07-14——确认5.6.4982.470版已部署补丁,联系厂商询问CVE与发表博客文章有关事宜。厂商回复不分配CVE,可自己申请。因为补丁已部署,所以厂商允许发表文章描述漏洞。修复后的版本在这里。
  • 2020-07-22——申请CVE,等待中

本文翻译自 na, 原文链接 。如若转载请注明出处。

我是安仔,一名刚入职网络安全圈的网安萌新,欢迎关注我,跟我一起成长; 欢迎大家私信回复【入群】,加入安界网大咖交流群,跟我一起交流讨论。

安界网周年庆,cisp考证报名送价值7000元电脑;nisp一级报名送100元现金劵;nisp二级报名送1000元现金劵。更多优惠联系我们。

1.《【avast许可文件】专题分析AVAST SecureLine VPN任意文件创建漏洞》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《【avast许可文件】专题分析AVAST SecureLine VPN任意文件创建漏洞》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2539439.html

上一篇

【excel2007密钥】专题图文分享Microsoft office 2007的完整安装步骤,回味经典

avast许可文件看这里!Avast发布首款安全浏览器:强力广告屏蔽、一键下载视频

avast许可文件看这里!Avast发布首款安全浏览器:强力广告屏蔽、一键下载视频

avast许可文件相关介绍,在AV-Test的历次评估中,捷克的AVAST(EVIS)都名列前茅,本身也是以老兵闻名的免费杀戮。 同时在2016年和2017年,Avast先后收购AVG和Piriform(CCleaner/Rec...

avast许可文件专题之推荐!这几个小众卸载清理杀毒软件,能力强大、干净无捆绑

avast许可文件专题之推荐!这几个小众卸载清理杀毒软件,能力强大、干净无捆绑

avast许可文件相关介绍,1.Avast Avast,全球防病毒软件排行榜上最好的免费防病毒软件之一。 和360相比大多数网友更喜欢avast,功能更集中、界面简洁、杀毒能力更强,干净无捆绑,不像国内的杀毒软件都要捆绑很多软件...

关于avast许可文件我想说Avast——全球十大杀毒软件之一

关于avast许可文件我想说Avast——全球十大杀毒软件之一

avast许可文件相关介绍,各位朋友,大家好,请相信电脑上安装了杀毒软件。但是也遇到了电脑中毒的情况。 为什么安装了杀毒软件电脑也会中毒?那我告诉你,杀毒软件也有好坏之分,电脑中毒了,说明你的杀毒软件还不够强大。 今天在这里向大...

avast许可文件专题之Avast对CCleaner进行修改以确保用户的程序在未来不会被意外删除

avast许可文件专题之Avast对CCleaner进行修改以确保用户的程序在未来不会被意外删除

avast许可文件相关介绍,我们周一报道说,Avast广泛使用的系统清理工具CCleaner擅自删除了用户的大部分程序。 其原因在于CCleaner的卸载程序的工作方式,在正常情况下不会造成问题。不过Avast还是调查了这个问题...

avast许可文件专题之Mallox病毒家族.devicZz、.consultransom,avast,.exploit后缀

avast许可文件专题之Mallox病毒家族.devicZz、.consultransom,avast,.exploit后缀

avast许可文件相关介绍,前言:简介 .devicZz后缀勒索病毒是国外著名勒索病毒家族Mallox(TargetCompany)的新型传播病毒,最近我们已经得到了一些公司的咨询和帮助,各公司必须加强预防。 近日,国内某企业披...

【avast许可文件】专题Avast免费杀毒软件宣布全面兼容Windows 11

【avast许可文件】专题Avast免费杀毒软件宣布全面兼容Windows 11

avast许可文件相关介绍,自Windows 11发布以来,已过了三周。微软确认,在Windows 10上运行的大多数程序在Windows 11上都能正常工作,但大多数应用程序(WinRAR beta版、OO Shutup和Re...

关于avast许可文件我想说分析AVAST SecureLine VPN任意文件创建漏洞

关于avast许可文件我想说分析AVAST SecureLine VPN任意文件创建漏洞

avast许可文件相关介绍,0x00简介 Avast SecureLine VPN使您能够通过安全的Avast VPN服务器将internet连接到加密通道,从而保护用户的网络活动不受接收。 Avast SecureLine V...

avast许可文件专题之宅家折腾了几十款杀毒软件后,还是觉得这些好用

avast许可文件专题之宅家折腾了几十款杀毒软件后,还是觉得这些好用

avast许可文件相关介绍,这段时间比其他时间空闲的时间多,所以除了跑步机、运动自行车等健身器材外,他摆脱了晾衣架的使命,回归本色。不舍地用手里的食材做新菜等,家里的几台电脑不可避免地成为了折腾的主要对象。(威廉莎士比亚,模板,...