NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

申博_安全预警 申博 301次浏览 已收录 0个评论

OSINT Primer:组织(第3部分)

我介绍了很多关于OSINT的内容。然而,仍有一些技术和想法未被公开。我将它们放在了这篇文章中,因为我觉得它们大多与组织有关。

0x00 提要

本文细致引见了NVIDIA GeForce Experience (GFE)中多个恣意文件写入破绽(CVE-2019-5674)的发明历程,这款软件会默许装置到运转NVIDIA GeForce产物的体系上。具有恣意文件写入权限后,攻击者可以或许强迫运用顺序以高权限用户身份掩盖体系上的恣意文件。通常情况下,这类破绽只能让攻击者掩盖体系症结文件,到达拒绝效劳效果。但是,若是攻击者可以或许经由过程某种体式格局掌握写入的详细数据,每每就可以完成更多目标。

GFE会以SYSTEM用户身份将数据写入日记文件中,由于日记文件所设置的权限其实不平安,因而该破绽可以或许许可攻击者掩盖恣意体系文件。另外,用户可以或许掌握某个日记文件中所包罗的内容,将敕令注入该文件,以批处理文件体式格局写入数据,使其他用户实行代码,终究可以或许完成权限提拔。本文中,我会与人人分享怎样将该破绽与拒绝效劳破绽连系起来,终究完成完整的权限提拔。

0x01 NVIDIA GeForce Experience GFE

依据NVIDIA官网的引见,GeForce Experience GFE可以或许用来“录制视频、截图并与朋友们同享,连结驱动顺序处于最新版本,而且可以或许优化游戏设置”。本质上这是与GeForce一同装置的一款增补运用顺序,可以或许给用户供应更多附加功用。

0x02 破绽发明历程

为了探究以后体系中NVIDIA效劳及运用中是不是存在题目,我翻开Process Monitor(Procmon,来自Sysinternals的一款对象)对象,相识默许情况下GeForce Experience及其他效劳正在运转的一些运用。经由剖析后,我注重到了与NVIDIA有关的几个历程:nvcontainer.exeNVDisplay.Container.exe

发明NVIDIA正在运转的这些历程后,我在Procmon中添加了一个过滤器,查找*container.exe正在写入的一些文件(运用通配符能婚配这两个顺序)。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

运用过滤器后,我只存眷WriteFile操纵,效果找到了几个可疑的目标。以下图所示,这些顺序会以NT AUTHORITY\SYSTEM权限将一些日记文件写入C:\ProgramData目次中(该目次常常包罗普通用户可以或许修正的一些文件)。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

搜检这些文件的权限设置后,我们发明Everyone用户组具有这些文件的完整接见权限。

因而,顺序会以SYSTEM权限写入这些文件,而且Everyone可以或许完整掌握这些文件。这里的题目在于,每个人都可以或许以恣意体式格局修正文件,包孕建立指向体系上其他文件的硬链接或许标记链接(symbolic links)。若是我们能建立指向其他体系文件的链接(以一般用户身份没法写入这些文件),那末SYSTEM历程就会追随该链接,以为这本来是应该一般写入数据的日记文件,终究将数据写入体系文件中。这里的目标文件包孕症结的体系文件,写入这些文件可以或许致使运用顺序或体系处于不稳定状况、瓦解或许没法启动。

0x03 应用文件写入破绽

我们可以或许应用James Forshaw开辟的symboliclink-testing-tools来建立标记链接及硬链接,以便应用这个文件写入破绽。这些对象可以或许让我们以普通用户身份建立指向体系文件的链接。在测试场景中,我运用的是Createsymlink对象,建立了从C:\ProgramData\NVIDIA Corporation\nvstapisvr\nvstapisvr.log指向C:\windows\test.file的一个暂时标记链接(只要管理员能力写入test.file)。为了胜利建立标记链接,C:\ProgramData\NVIDIA Corporation\nvstapisvr\必需是一个空目次(这是由于该对象运用了junction手艺,而这请求目次为空目次)。我们顺次测试了目次不为空和为空时的效果,以下图所示:

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

如今,当高权限的NVIDIA历程写入C:\ProgramData\NVIDIA Corporation\nvstapisvr\nvstapisvr.log这个日记文件时,实际上写入的目标文件为C:\windows\test.file

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

上图注解,我们可以或许掩盖体系上的恣意文件。这确实是一个题目,但其实不那末令人兴奋,由于我们没法完成更多义务,只能简朴地损坏某些文件,终究可以或许完成DoS效果。这是由于我们没法掌握写入该日记文件中的数据,顺序只会写入本来就该写入的任何数据。

因而我想看看是不是可以或许掌握写入这些日记文件中的数据内容,特地实行其他操纵(如将敕令写入.bat文件中)。经由一番研讨后,我发明C:\ProgramData\NVIDIA Corporation\nvstreamsvc\nvstreamsvcCurrent.log中包罗我在其他文件中见过的某些字符串,而我可以或许以普通用户身份写入这些文件。该文件为C:\ProgramData\NVIDIA Corporation\NvStreamSrv\settings.txt,个中包罗一些变量,当我们翻开和封闭GeForce Experience中的“GameStream”效劳时,就会将这些变量写入nvstreamsvcCurrent日记文件中。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

变动这个按钮状况就会致使待写入的C:\ProgramData\NVIDIA Corporation\nvstreamsvc\nvstreamsvcCurrent.log包罗settings.txt中的URL字符串。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

接下来我实验在这些变量后附加一些敕令,以污染日记文件内容。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

这些数据会被胜利写入C:\ProgramData\NVIDIA Corporation\nvstreamsvc\nvstreamsvcCurrent.log中。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

如今,纵然该文件中存在大批其他日记数据,我们注入的敕令终究照样可以或许在.bat文件中实行。

由于我们如今可以或许写入任何目次,因而我在受影响的文件中注入了一条有用的敕令,如许就可以将该文件写入体系启动(startup)目次中,当任何用户登录体系时就可以实行该敕令。如许当管理员登录时,我们就可以完成权限提拔。

这里我确实碰到了一个题目:用来建立标记链接的目次需要为空目次,但该目次中包罗NVIDIA效劳正在运用的一个文件,我没法删除该文件。我们可以或许启动体系进入平安形式(普通用户就可以完成该操纵),或许与一个拒绝效劳破绽连系在一同来处理这个题目,稍后我们会议论这一点。

总结一下步调:

  • 将敕令附加到C:\ProgramData\NVIDIA Corporation\NvStreamSrv\settings.txt
  • 清空C:\ProgramData\NVIDIA Corporation\nvstreamsvc\目次
  • 建立从C:\ProgramData\NVIDIA Corporation\nvstreamsvc\nvstreamsvcCurrent.logC:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\cmd.bat的一个标记链接

建立标记链接的敕令以下:

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

如今我们可以或许开关“GameStream”效劳,终究体系的启动目次中就会涌现一个cmd.bat文件。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

此时若是恣意用户登录体系,我们就可以以该用户身份实行注入日记文件中敕令。

0x04 完整权限提拔探究

虽然这只是证明该破绽存在的一个PoC,但确实包罗了多个步调。若是该破绽能与NVIDIA上的一个拒绝效劳破绽集合起来,我们就可以滥用该要领完成完整的权限提拔。

NVIDIA包罗一些批处理文件,这些文件位于C:\Windows目次中。

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

当“NVIDIA Display Container”或许“NVIDIA Telemetry Container”瓦解次数凌驾2次时,这些文件就会以SYSTEM权限运转。这是NVIDIA效劳默许接纳的一种规复设置,我们可以或许在效劳的设置窗口中证明这一点:

NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行

我们可以或许将这些文件当做恣意文件写入破绽的目标,如许当效劳瓦解次数达3次以上时,就会强迫实行BAT文件,终究致使权限提拔。

0x05 总结

这个PoC演示了恣意文件写入和运用顺序没有准确设置文件权限可以或许带来的一些题目。通常情况下,人们其实不以为恣意文件写入破绽可以或许形成太大影响,以为这些破绽只能用来将某些数据掩盖恣意文件。但是,若是我们可以或许掌握待写入的数据,再拓宽些思绪,那末所形成的影响可以或许不容忽视。人人可以或许在我们的CVE-2019-5674 GitHub repo上相识基础的PoC应用步调。

NVIDIA已宣布了平安通知布告。3.18版本前的GeForce Experience存在该破绽,因而请人人接见此处链接,运用NVIDIA供应的最新版本。

OSINT Primer:组织(第3部分)

我介绍了很多关于OSINT的内容。然而,仍有一些技术和想法未被公开。我将它们放在了这篇文章中,因为我觉得它们大多与组织有关。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明NVIDIA GeForce Experience破绽剖析:从恣意文件写入到敕令实行
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址