记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Windows内核逻辑漏洞:IO管理器访问模式不匹配
概述本文深入介绍了Windows内核中一个有趣的逻辑漏洞,以及我与Microsoft的合作伙伴共同修复的过程。如果内核和驱动程序的开发人员在访问设备对象时未考虑IO管理器的操作方式,那么漏洞所产生的最大影响将会是本地权限提升。本篇文章重点说明了我发现漏洞的过程,并详细分析了技术背景。关于进一步调查的更多信息、修复方式和如何避免使用漏洞类编写新代码,可以参考MSRC的博客文章。技术背景我在尝试对Issue#779进行漏洞利用时,偶然发现了这个存在漏洞的类。该问题是一个文件TOCTOU绕过了自定义字体加载的缓解策略。在Windows 10中,引入了缓解策略,以限制可利用字体内存损坏漏洞的影响。通常,可以轻松使用文件和对象管
Google白帽发现Windows bug
Google Project Zero白帽研究员James Forshaw发现位于Windows kernel模式驱动中的漏洞,利用该漏洞可以进行权限提升。该漏洞是由于处理特定请求时缺乏必要检查导致的。Windows使用PreviousMode域来设置UserMode或KernelMode,然后确定调用的参数是否来源于可信源。该机制也用于文件创建和打开,kernel模式代码可以从不同的API函数中选择,包括到I/O管理器内部函数IopCreateFile的函数。在这种情况下,PreviousMode会被分配一个特定的变量来确定是否检查有效的参数和缓存。操作系统使用该变量进行设备对象的检查,即是否是UserMode。Io
如何在Windows AppCotainer中创建进程
概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
多种降低Windows运行速度的操作方法
前言最近我在研究VirtualAlloc时,碰到了一个新问题。如果你在这个函数中使用了错误的标志,那么,根据你分配的内存大小,Windows运行速度可能会比平时慢1000倍,甚至可能更糟。VirtualAlloc是一个Windows API函数,该函数的功能是在调用进程的虚地址空间,预定或者提交一部分页面。简而言之就是申请内存空间,用于低级内存分配。它允许你保留虚拟地址空间区域,并在这些区域内提交页面。我最近收到了一份客户的反馈报告,说在一台内存非常大的服务器上运行应用程序时,设备的启动速度反而比在内存小的设备上要慢得多。具体来说,就是当内存升级到288GB时,启动时间反而从平时的3分钟增加到了25分钟。后来在分析中,
微软安全服务标准
我们致力于保护客户免受软件、服务和设备漏洞的侵害,包括提供安全更新和指导,以便在向微软报告漏洞时,能够解决漏洞。我们还希望在我们的方法中,对安全研究人员和我们的客户保持透明。这篇文章旨在描述微软安全响应中心(MSRC)的标准——一个对当前windows最新支持版本造成影响的已知漏洞,能否被当前服务或者是下一版本的Windows解决。对于Windows中的漏洞,服务采取安全更新或适用指导的形式,它一般是在周二(每月的第二个周二)更新时发布。安全服务标准微软在评估是否应该为这个漏洞提供安全更新或指导的使用标准时,会考虑答两个关键问题:1、漏洞是否违反了安全边界或安全特性的目标或意图?2、漏洞的严重性是否符合维护标准?如果这
Windows进程注入:额外的窗口字节
介绍Extra Window Bytes,额外的窗口字节,这种注入方法因在2013年左右出现的Powerloader恶意软件中使用而闻名。没有人确切知道它何时首次用于进程注入,因为自80年代末90年代初以来,被特性已成为Windows操作系统的一部分。Extra Window Bytes的索引零可用于将类对象与窗口相关联。使用SetWindowLongPtr将指向类对象的指针存储在索引零处,并且可以使用GetWindowLongPtr检索一个指针。第一次提到使用“Shell_TrayWnd”作为注射载体可以追溯到WASM论坛上一个名为“Indy(Clerk)”的用户的帖子,在2009年左右有一些关于它的讨论。图1显示了
Windows进程注入:如何将有效负载部署到目标进程的内存空间中执行
介绍本文的目的是探讨如何将有效负载部署到目标进程的内存空间中执行。可以使用传统的Win32 API完成该任务,大家对Win32 API已经比较熟悉。但是也有可能创造性的使用非传统的方法,例如,我们可以使用API执行它们最初不打算执行的读写操作,这可能有助于规避检测。有许多种方式部署和执行有效负载,但不是所有的方法用起来比较简单。首先关注的是传统的API,尽管它相对较容易检测,但在威胁行动者中仍然很流行。下面是sysinternals提供的VMMap屏幕截图,显示了我将要处理的系统(Windows 10)的内存类型。该内存的某些部分可能用于有效负载的存储。分配虚拟内存每个进程都有自己的虚拟地址空间。进程之间存在共享内存,
披着羊皮的狼:攻击者如何利用漏洞以特定图标伪装可执行文件
这个漏洞背后的图标显示bug可以深溯到Windows图像处理代码,其允许攻击者“借来”本地其他常用的图标并自动将可移植的可执行文件伪装起来,这样就更容易诱使用户打开他们。保守来说,自从Windows 7以来,这个bug就已经出现,而且仍然存在于最新版本的Windows 10中。
我们最近在研究一批恶意PE文件的时候发现了这个bug,在将一个文件从一个目录拷贝到一个目录的之后,我们发现了一个奇怪的行为:一些文件的图标改变了。为了排除出错的可能性,我们又将文件拷贝到另一个目录下,不过情况还是一样,这些文件的图标变成了其他很常见,却与其毫不相关的图标。这引起了我们的兴趣,并对这个奇怪的现象展开调查。
视频演示:
这批2017年4月的恶意文件包含了几十个Cerber勒索软件的样本,而这些勒索软件都发生
Windows安全协议现 LDAP & RDP 中继漏洞
这些漏洞让攻击者可破解口令获取Windows凭证行为防火墙专家Preempt公司的安全研究人员,在微软 Windows NTLM(NT局域网管理器)安全协议中发现两个关键安全漏洞,一旦被利用,可使攻击者破解口令,获得目标网络凭证。第一个漏洞(CVE-2017-8563)存在于NTLM中继的LDAP(轻量级目录访问协议)中,第二个漏洞则针对广泛使用的远程桌面协议(RDP)受限管理模式。Preempt共同创始人兼CEO阿基特·桑切蒂称:“威胁态势持续发展,凸显出现有安全协议中存在的漏洞,这2个漏洞也没什么不同。NTLM让公司企业和个人处于凭证转发和口令破解的风险之下,最终,阐明了为什么公司企业必须保持警惕,并确保其部署始终是安全的——尤其是在使用NTLM这种遗留协议的时候。”Windows系统中,LDAP保护用户不
从 Win2K 到 Windows 8 没一个逃得过NSA黑客工具
好了,现在随便什么阿猫阿狗都能随意劫持大量脆弱主机了。
“影子经纪人”再泄一批NSA“方程式小组”黑客工具。这次的料杀伤面更广,从古早的 Windows 2000 到 近几年广泛使用的 Server 2012 和 Windows 7 和8,无一幸免,而且还都是些简单易用的漏洞利用工具。
该工具包谁都能用,没什么技术含量的脚本小子可以,老练的罪犯也可以。这就是一个可以用来入侵并控制全球数百万主机的民族国家级绝密武器装备库。同时,这也正是山姆大叔用来黑进外国政府、电信公司、银行和其他机构,监听窥探情报的同款强力工具包。
从微软Windows漏洞利用程序,到监视SWIFT银行间支付的工具,这批文件无所不包。对本次被泄文档和程序的分析仍在进行,但已揭示出思科防火墙和VPN网关也在该批工具目标范围之列。
“影子经纪人”
ShadowBroker是这样放大招的:Windows零日利用工具更多数据呈现
北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响程度非常巨大。除Microsoft Windows以外,受影响的产品还有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。
事件时间轴
1.在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shad
我是如何获取全域用户明文密码的?
* 本文原创作者:c0debreak,本文属FreeBuf原创奖励计划,未经许可禁止转载
简介
在组策略之外,Windows 允许你自定义密码策略,滥用这个机制可以实现一些恶意行为。今天为大家科普下
当我们按下 CTRL + ALT + DEL,修改用户密码时,在 Windows 服务器端,会发生什么呢?
首先,Windows 服务器(域控)会检查注册表,找到 Password Filter,也就是 LSA Notification Package。然后挨个调用DLL,检查密码是否符合策略,
如果不符合策略,就提示密码不够健壮,
在默认情况下,域上的服务器包含两个DLL,其中 seccli 负责实现密码安全策略,也就我们常用的GPO了
我们今天的主题,就是如何滥用这个机制,实现一个密码策略插件,以
微软 Windows 10 也要防ATP了
微软预览其企业威胁防护产品部分新功能,拟在 Windows 10 Builder更新中推出。
Windows 10 Builder更新中会有更多针对创意专业人士的虚拟现实体验和功能。对公司而言,该系统软件升级也将增强 Windows Defender 高级威胁防护(ATP)发现隐藏攻击的能力。
虽然借用了该公司旗舰操作系统捆绑反恶意软件产品的名头,Windows Defender ATP 却是个云数据安全服务,依托微软大规模威胁情报系统收集到的信息,提供高级数据泄露防护。因为是重大升级,将在今年春天放出。
微软 Windows Defender ATP 首席项目经理阿维·撒基辅称:“Windows创建者更新改善了OS内存和内核传感器,可以检测利用内存和内核级攻击的攻击者,照亮了之前攻击者躲避传统检测工具的黑暗
Windows内核本地拒绝服务#1(Windows 7-10)
早在2013年,Gynvael和我发布了我们的研究结果,在操作系统内核中发现so-called double fetch漏洞,通过在一个被称为Bochs的IA-32仿真器中运行它们。仿真器(以及我们的定制嵌入式仪器)的目是捕获关于对源自内核的用户模式存储器访问的详细信息,以便我们以后可以运行分析工具,在一个系统调用范围内发现多个对单个内存地址的引用,并产生有意义的报告。我们称这个项目为Bochspwn (使用Github上的kfetch工具包测试内存引用),并且大部分成功,导致在Windows内核中发现了几十个严重的漏洞。我们相信它对于普及double-fetch漏洞类和使用全系统仪器的安全概念起到了重要作用。
在经历了这一切后,我决定回到整系统检测的主题,分析各种执行轨迹,寻找潜在的漏洞。具体来说,我的目标之
Windows内核本地拒绝服务#2(Windows 8-10)
这个星期,我们使用另一种未处理的异常ring-0代码方式使Windows内核本地崩溃(如果你不太懂,可以看上周的DoS在win32k!NtUserThunkedMenuItemInfo)。今天,这个bug是在win32k!NtDCompositionBeginFrame系统调用处理程序中的,其开始可以转换为以下类似C的伪代码:
由于我不知道I/O结构的名字和定义,我统称他们为INPUT_STRUCTURE和OUTPUT_STRUCTURE。在这里,我们可以看到第二个参数(lpInput)被访问了两次:第一次在第9行,对内联ProbeForRead调用和一个try/except块进行适当清理,第二次在23行,其中字段偏移0x10(在上面的列表中),SomeField是从用户指针读取的,而异常处理被禁用。该Tem
Windows内核本地拒绝服务#3(Windows 7-8)
这是这个系列中关于未修补的本地Windows内核拒绝服务错误的第三篇文章。截至目前为止,以前发布的帖子如下:
Windows内核本地拒绝服务#2:win32k!NtDCompositionBeginFrame(Windows 8-10)
Windows内核本地拒绝服务#1:win32k!NtUserThunkedMenuItemInfo(Windows 7-10)
与以前讨论的两个问题相反,今天的bug不是在图形子系统(win32k.sys),而是在核心内核模块:ntoskrnl.exe,更具体地是在nt!NtDuplicateToken系统调用的处理程序里(同名) 。根据MSDN,系统调用的定义如下:
我们这次所讨论的漏洞是由对用户参数传递控制指针的无保护访问引起的ObjectAttrib
公告
关注公众号hackdig,学习最新黑客技术