CVE-2019-15512:Total Defense反病毒软件权限提拔破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2019-15512:Total Defense反病毒软件权限提拔破绽剖析

申博_新闻事件 申博 46次浏览 已收录 0个评论

概述

Total Defense Common Scheduler效劳默许情况下会在C:\ProgramData\TotalDefense\Consumer\ISS\9\ccschedulersvc中建立日记文件。只要Total Defense的特权历程(SYSTEM)才能够建立、接见和操纵该文件。日记和文件夹有接见特权能够许可非特权用户增加或删除文件,并修正一些特性。

受影响的版本是V9.0.0.773,研究人员称其他版本和产物也能够受到影响,但未举行考证和测试。

破绽剖析

日记文件是由SYSTEM历程建立的,然则每一个组都有写权限。经由过程滥用日记文件建立能够完成恣意文件建立,即非特权用户能够经由过程到恣意文件的伪随机标记链接来替代这些日记文件。在日记文件天生时,特权Total Defense (Scheduler Service)历程能够建立日记文件,设置接见权限,提供给Everyone组的写权限。

为了完成恣意建立文件,非特权用户能够:

· 删除C:\ProgramData\TotalDefense\Consumer\ISS\9\ccschedulersvc中的一切文件

· 建立指向C:\Windows\System32\test.dll的名为C:\ProgramData\TotalDefense\Consumer\ISS\9\ccschedulersvc\ccschedulersvc.log的伪随机标记链接

印巴战争阴影下的网络战——近期印巴APT组织攻击活动汇总

一、背景 印度和巴基斯坦同属于南亚地区的两个国家,但是由于一些历史原因,两国关系一直不大和睦,冲突不断。从2019年初开始,双方关系突然紧张,冲突升级。2月26日,印度空军飞越克什米尔印巴实际控制线,被巴基斯坦军方击落并俘获一名印度空军飞行员,同时这也是印度首次袭击巴基斯坦境内。前段时间两国在克什米尔印军队集结并且频繁交火,印方甚至水淹巴基斯坦,打开阿尔奇大坝,造成巴基斯坦面临洪水的危机,同时印方几日前公开宣称,可能会先对巴基斯

· 重启scheduler效劳或守候计算机重启。一旦重启,就在C:\Windows\System32文件夹中建立恣意文件

破绽应用

删除以下文件夹的一切文件:

Remove-Item -Force "C:\ProgramData\TotalDefense\Consumer\ISS\9\ccschedulersvc\*"

用CreateSymlink东西建立标记链接:

CreateSymlink.exe "C:\ProgramData\TotalDefense\Consumer\ISS\9\ccschedulersvc\ccschedulersvc.log" C:\Windows\System32\test.dll

重启计算机或效劳Total Defense Common Scheduler Service来使文件建立见效。

胜利应用以下所示:

CVE-2019-15512:Total Defense反病毒软件权限提拔破绽剖析

文件夹C:\WINDOWS\SYSTEM32的恣意文件建立:

CVE-2019-15512:Total Defense反病毒软件权限提拔破绽剖析

本文翻译自: https://nafiez.github.io/security/eop/2019/08/25/total-defense-eop.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2019-15512:Total Defense反病毒软件权限提拔破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址