軟件版本：Razer Surround 1.1.63.0

操作系統(tǒng)版本：Windows 10 1803（x64）

漏洞說(shuō)明：Razer Surround軟件中文件夾設(shè)置缺陷導(dǎo)致的權(quán)限提升

目的

我希望這篇文章能鼓勵(lì)更多的人加入漏洞研究這個(gè)看似很困難的領(lǐng)域。雖然這個(gè)漏洞的原理很簡(jiǎn)單，但本文的主要目的是講述一些漏洞挖掘的方法。另外，我希望用這篇文章提醒大家，無(wú)論公司規(guī)模有多大，都一定存在脆弱面。

簡(jiǎn)介

Razer Surround安裝了一個(gè)名為RzSurroundVadStreamingService的服務(wù)，以SYSTEM權(quán)限運(yùn)行。

此服務(wù)涉及的二進(jìn)制文件為RzSurroundVADStreamingService.exe，在文件夾C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver下。

而此二進(jìn)制文件能被惡意軟件所覆蓋替換，然后以SYSTEM權(quán)限運(yùn)行，最終造成非法權(quán)限提升。

利用

在進(jìn)行漏洞研究時(shí)，選擇一個(gè)恰當(dāng)?shù)哪繕?biāo)是很有必要的。如果你一開始選擇一個(gè)體積巨大的軟件，那么就很有可能產(chǎn)生畏難心理，你不知道從何入手，且會(huì)覺得這里面隱藏的漏洞肯定異常復(fù)雜。我想用這個(gè)漏洞作為一個(gè)例子，來(lái)說(shuō)明在一個(gè)普通的軟件中尋找漏洞其實(shí)并不困難。

你可能會(huì)問(wèn)，為什么是Razer？為何要瞄準(zhǔn)這個(gè)軟件？答案很簡(jiǎn)單：我是Razer的粉絲，我買了不少Razer的產(chǎn)品。當(dāng)你每天大量使用同一個(gè)品牌的產(chǎn)品及其軟件時(shí)，你很難忍住研究它的沖動(dòng)。

在挖掘漏洞時(shí)，我通常會(huì)進(jìn)行一個(gè)常見的挖掘流程，每次都是如此。這個(gè)流程中包括分析目標(biāo)軟件所暴露的潛在攻擊面。我通常從基礎(chǔ)開始，根據(jù)需要進(jìn)行動(dòng)態(tài)/靜態(tài)分析。我最初通常尋找的是：

已安裝的服務(wù)（服務(wù)權(quán)限和服務(wù)路徑）

命名管道（及其ACL）

所涉及的文件和文件夾權(quán)限

網(wǎng)絡(luò)套接字

DCOM服務(wù)器和托管接口

在常用工具這一方面，我主要使用Process Monitor和James Forshaw’s NTob jectManager 。

在Razer Surround這個(gè)例子中，我首先通過(guò)查看進(jìn)程列表檢查軟件的運(yùn)行權(quán)限，發(fā)現(xiàn)RzSurroundVADStreamingService.exe是以SYSTEM權(quán)限運(yùn)行的。下一步是找出這個(gè)進(jìn)程是如何運(yùn)行的。考慮到這個(gè)進(jìn)程的名稱中包含“service”，我在powershell的命令行下使用Get-Service *Rz*命令來(lái)獲得所有包含Rz字符串的所有服務(wù)（也可以說(shuō)是和Razer有關(guān)的所有服務(wù)）。

從結(jié)果中我們可以篩選出它的ImagePath，也就是C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver\。

請(qǐng)注意，此時(shí)有趣的地方出現(xiàn)了。通過(guò)對(duì)文件夾的權(quán)限查詢，發(fā)現(xiàn)BUILTIN\Users對(duì)文件夾C:\ProgramData具有讀寫權(quán)限。

開發(fā)人員經(jīng)常犯的一個(gè)錯(cuò)誤就是沒有鎖定在C:\ProgramData文件夾中創(chuàng)建任意子文件夾的權(quán)限。如果安裝程序只是簡(jiǎn)單地在C:\ProgramData中創(chuàng)建一個(gè)文件夾，那么該文件夾和其任何子文件夾都將繼承C:\ProgramData的權(quán)限，比如普通用戶地完全讀寫權(quán)限。

在這種情況下，導(dǎo)致電腦上的“Everyone”都能完全控制C:\ProgramData\Razer\Synapse\Devices\Razer Surround\Driver文件夾。

如之前所述，此路徑是二進(jìn)制文件RzSurroundVADStreamingService 的ImagePath。如果任意權(quán)限的用戶對(duì)文件及包含它的文件夾具有“完全控制”權(quán)限，那么只要把RzSurroundVADstreamingService替換為惡意軟件即可：

一旦替換成功，重新啟動(dòng)電腦，該惡意軟件將作為服務(wù)的一部分，以SYSTEM權(quán)限運(yùn)行。在這個(gè)例子中，我們最終得到了一個(gè)SYSTEM權(quán)限的cmd命令行。

對(duì)于Razer來(lái)說(shuō)，只要把這個(gè)二進(jìn)制文件默認(rèn)放置于C:\Program Files (x86)\Razer文件夾即可修復(fù)此漏洞。

時(shí)間線

我們?cè)诎l(fā)現(xiàn)這類漏洞后，會(huì)定期提交給廠商，和他們保持良好的聯(lián)系，確保受影響的用戶在短時(shí)間內(nèi)收到漏洞預(yù)警，進(jìn)行軟件更新。

2019年3月20日-報(bào)告發(fā)送至Razer

2019年3月21日-收到Razer的確認(rèn)

2019年6月6日-就漏洞修復(fù)問(wèn)題與Razer進(jìn)行聯(lián)系

2019年6月10日-razer通知我，修復(fù)工作將在6月底開始

2019年7月1日-razer通知我，更新補(bǔ)丁將馬上發(fā)布

2019年7月5日-補(bǔ)丁發(fā)布

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點(diǎn)和立場(chǎng)：https://nosec.org/home/detail/2758.html 來(lái)源：https://posts.specterops.io/cve-2019-13142-razer-surround-1-1-63-0-eop-f18c52b8be0c

總結(jié)

以上是生活随笔為你收集整理的CVE-2019-13142:雷蛇影音软件（Razer Surround）的权限提升漏洞的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。