CVE-2019-13142:雷蛇影音软件(Razer Surround)的权限提升漏洞

行业观察

软件版本:Razer Surround 1.1.63.0

操作系统版本:Windows 10 1803(x64)

漏洞说明:Razer Surround软件中文件夹设置缺陷导致的权限提升

目的

简介

Razer Surround安装了一个名为
RzSurroundVadStreamingService的服务,以SYSTEM权限运行。

此服务涉及的二进制文件为
RzSurroundVADStreamingService.exe,在文件夹C:ProgramDataRazerSynapseDevicesRazer SurroundDriver下。

而此二进制文件能被恶意软件所覆盖替换,然后以SYSTEM权限运行,最终造成非法权限提升。

利用

在进行漏洞研究时,选择一个恰当的目标是很有必要的。如果你一开始选择一个体积巨大的软件,那么就很有可能产生畏难心理,你不知道从何入手,且会觉得这里面隐藏的漏洞肯定异常复杂。我想用这个漏洞作为一个例子,来说明在一个普通的软件中寻找漏洞其实并不困难。

你可能会问,为什么是Razer?为何要瞄准这个软件?答案很简单:我是Razer的粉丝,我买了不少Razer的产品。当你每天大量使用同一个品牌的产品及其软件时,你很难忍住研究它的冲动。

在挖掘漏洞时,我通常会进行一个常见的挖掘流程,每次都是如此。这个流程中包括分析目标软件所暴露的潜在攻击面。我通常从基础开始,根据需要进行动态/静态分析。我最初通常寻找的是:

  1. 已安装的服务(服务权限和服务路径)
  2. 命名管道(及其ACL)
  3. 所涉及的文件和文件夹权限
  4. 络套接字
  5. DCOM服务器和托管接口

在常用工具这一方面,我主要使用Process Monitor和James Forshaw’s NTob jectManager 。

在Razer Surround这个例子中,我首先通过查看进程列表检查软件的运行权限,发现
RzSurroundVADStreamingService.exe是以SYSTEM权限运行的。下一步是找出这个进程是如何运行的。考虑到这个进程的名称中包含“service”,我在powershell的命令行下使用Get-Service *Rz*命令来获得所有包含Rz字符串的所有服务(也可以说是和Razer有关的所有服务)。

从结果中我们可以筛选出它的ImagePath,也就是C:ProgramDataRazerSynapseDevicesRazer SurroundDriver。

请注意,此时有趣的地方出现了。通过对文件夹的权限查询,发现BUILTINUsers对文件夹C:ProgramData具有读写权限。

开发人员经常犯的一个错误就是没有锁定在C:ProgramData文件夹中创建任意子文件夹的权限。如果安装程序只是简单地在C:ProgramData中创建一个文件夹,那么该文件夹和其任何子文件夹都将继承C:ProgramData的权限,比如普通用户地完全读写权限。

在这种情况下,导致电脑上的“Everyone”都能完全控制C:ProgramDataRazerSynapseDevicesRazer SurroundDriver文件夹。

如之前所述,此路径是二进制文件
RzSurroundVADStreamingService 的ImagePath。如果任意权限的用户对文件及包含它的文件夹具有“完全控制”权限,那么只要把
RzSurroundVADstreamingService替换为恶意软件即可:

一旦替换成功,重新启动电脑,该恶意软件将作为服务的一部分,以SYSTEM权限运行。在这个例子中,我们最终得到了一个SYSTEM权限的cmd命令行。

对于Razer来说,只要把这个二进制文件默认放置于C:Program Files (x86)Razer文件夹即可修复此漏洞。

时间线

我们在发现这类漏洞后,会定期提交给厂商,和他们保持良好的联系,确保受影响的用户在短时间内收到漏洞预警,进行软件更新。

2019年3月20日- 告发送至Razer

2019年3月21日-收到Razer的确认

2019年6月6日-就漏洞修复问题与Razer进行联系

2019年6月10日-razer通知我,修复工作将在6月底开始

2019年7月1日-razer通知我,更新补丁将马上发布

2019年7月5日-补丁发布

原文:
https://posts.specterops.io/cve-2019-13142-razer-surround-1-1-63-0-eop-f18c52b8be0c

白帽汇从事信息安全,专注于安全大数据、企业威胁情 。

公司产品:FOFA- 络空间安全搜索引擎、FOEYE- 络空间检索系统、NOSEC-安全讯息平台。

为您提供: 络空间测绘、企业资产收集、企业威胁情 、应急响应服务。

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2019年6月4日
下一篇 2019年6月4日

相关推荐

首页
软件超市
企服市场
会员中心