Reverse RDP进击:Hyper-V Connection | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Reverse RDP进击:Hyper-V Connection

申博_安全防护 申博 35次浏览 已收录 0个评论

概览

2019年2月,checkpoint研究人员宣布了Reverse RDP Attack进击(https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/ )的文章,引见了RDP协定客户端中的多个症结破绽。研究人员进一步剖析发明该进击还能够针对Hyper-V提议进击。

研究人员在RDP客户端中发明的途径遍历破绽也适用于Hyper-V治理器的guest-to-host VM逃逸,该破绽CVE编号为CVE-2019-0887,微软也已宣布了针对该破绽的补丁。

Hyper-V

研究人员宣布该破绽的相干状况后,有许多用户评论说RDP客户端的破绽是不是影响微软的Hyper-V产物。

Reverse RDP进击:Hyper-V Connection

图1: Reddit上关于Hyper-V破绽的复兴

尽人皆知,微软的Hyper-V是Azure 云中运用的一种假造化手艺,也作为Windows 10操作系统中的假造化产物。与其他假造化手艺相似,Hyper-V供应图形化接口来治理当地和长途假造机。

为了举行测试,研究人员装置了Hyper-V,并把之前的假造机也转换成Hyper-V机械。然后运用Hyper-V Manager顺序衔接到假造机。然后研究人员就看到了如图2所示的熟习的设置窗口。

Reverse RDP进击:Hyper-V Connection

图2: Hyper-V VM的设置窗口,与mstsc.exe雷同

能够看到,Hyper-V VM的GUI设置窗口与运用mstsc.exe举行RDP衔接的GUI设置雷同。而且,剪贴板资本默许是同享的。研究人员运转之前提交给微软的mstsc.exe的POC剧本,发明依然有用。如许研究人员就发明了一个经由历程掌握接口的Hyper-V guest-to-host VM逃逸,这个历程应用的是RDP破绽。

下面是Hyper-V paste-only进击场景:
https://www.youtube.com/embed/nSGlMJqQEh0

RDP & Hyper-V

实际上RDP被用作Hyper-V的掌握面板,除了完成屏幕同享、长途键盘、同步键盘,微软决定将一切的特性都应用于RDP中。系统安全依靠于个中最弱的一环。换句话说,由于依靠软件库,Hyper-V Manager继续了RDP中的一切安全破绽,以及运用的其他软件库中的破绽。

补丁

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

RevengeHotels是一款主要针对巴西酒店业的网络犯罪恶意软件,其目标是获取酒店系统中存储的客人的信用卡数据,以及从诸如Booking.com之类的在线旅行社(OTA)接收的信用卡数据。卡巴斯基已确认有超过20家酒店成为此次行动的受害者,它们分布在巴西的八个州,另外还有其他一些国家或地区受到影响,包括南美的阿根廷、玻利维亚、智利、哥斯达黎加,欧洲的法国、意大利、墨西哥、葡萄牙、西班牙,以及亚洲的泰国和土耳其等国家。 RevengeHotels通过带有恶意附件的钓鱼邮件感染受害者,其中一些版本利用了漏洞CVE-2017-0199,该漏洞是2017四月FireEye公布的一个OFFICE 0day,在无需用户交互的情况下,打开word文档就

研究人员在将破绽提交给MSRC后,当天就得到了复兴。几周后,该破绽取得CVE编号CVE-2019-0887,并宣布了补丁。
在剖析补丁前,再回忆下该破绽。歹意RDP服务器能够发送捏造的文件传输剪贴板内容,该内容会致使客户端机械举行文件遍历。研究人员愿望mstscax.dll搜检接收到的FileGroupDescriptorW剪贴板花样,并对个中包括的每一个文件途径举行处置惩罚。

研究人员运用BinDiff对补丁举行剖析,发明了大批修正的函数。研究人员检察import部份,发明了一个之前没有涌现过的纪录,如图3所示。

Reverse RDP进击:Hyper-V Connection

图3: 补丁DLL文件运用的PathCchCanonicalize()

函数PathCchCanonicalize能够将途径字符串转换成范例情势。那是怎样挪用该函数的呢?研究人员剖析了引入补丁的函数:

Reverse RDP进击:Hyper-V Connection

图4: CFormatDataPacket::DecodeFormatData()被修正了

变化部份如图5所示:

Reverse RDP进击:Hyper-V Connection

图5: 在流中加入了对CFormatDataPacker::ValidateFilePaths()的挪用

在处置惩罚FileGroupDescriptorW文件花样时,客户端将花样传递给考证blob构造的新函数。该新函数会搜检数据的构造是不是准确,然后盘算每一个文件名的范例花样:

Reverse RDP进击:Hyper-V Connection

图6: 盘算每一个文件名的范例花样

假如胜利的话,范例输出会与原始文件名举行比较,假如不婚配就会发生毛病。也就是说假如文件名中含有.或..情势的字符串,在转换成范例花样时会发送变化,致使有用性搜检失利。

该补丁与最初的预期是一致的,途径遍历破绽也修复了。

发起

现在已宣布了关于途径遍历破绽的补丁,研究人员强烈发起一切用户装置补丁来庇护RDP衔接和Hyper-V环境。

本文翻译自:https://research.checkpoint.com/reverse-rdp-the-hyper-v-connection/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Reverse RDP进击:Hyper-V Connection
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址