怎么實現Altiris權限提升漏洞分析

怎么實現Altiris權限提升漏洞分析，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

前言

在近期的一項滲透測試實踐中，我們在最新版本賽門鐵克Management Agent（Altiris）中發現了一個安全漏洞，而這個安全漏洞將允許攻擊者實現提權。

概述

當Altiris代理執行任務掃描時（例如軟件掃描），SYSTEM級服務會在掃描任務執行完畢之后向NSI和OutBox目錄重新申請權限。即：

C:\ProgramFiles\Altiris\Inventory\OutboxC:\ProgramFiles\Altiris\Inventory\NSI

申請到的權限會給‘Everyone’組成員提供這兩個文件目錄的完整控制權，并允許任何一名標準用戶創建其他代替目錄的鏈接。因此，‘Everyone’權限將會賦予給其他代替目錄，從而該目錄下的任何一份文件或文件夾都會繼承這種完全控制權限。

這也就意味著，任何一名低權限用戶都可以在安裝了Symantec Management Agent v7.6, v8.0或v8.1RU7的終端設備上實現權限提升。

分析&發現

在執行滲透測試的過程中，我們經常會遇到各種各樣安裝了不同類型終端軟件的主機設備。這些軟件很可能就是我們的切入點，因為我們可以利用它們來實現提權，或者實現橫向滲透。

在這些終端管理軟件中，我們經常會見到的就是賽門鐵克的Altiris。這個軟件是一款終端管理框架，它不僅可以幫助組織或管理員確保設備及時安裝了最新版本的操作系統補丁或軟件更新，還可以檢查用戶或組權限。

我們這一次測試的版本是v7.6，不過賽門鐵克方面也證實了，在最新補丁發布之前的所有Altiris版本都會受到這個問題的影響。

我們發現，Altiris文件架構中的目錄都應用了‘Everyone-完整控制’權限。這些目錄看起來存儲的是合法內容，例如掃描配置文件和XML文件等等。但是這些目錄和文件的權限都使用了一行簡單的PowerShell代碼，并允許我們查看任意Windows主機的ACL權限：

Get-ChildItemC:\ -Recurse -ErrorAction SilentlyContinue | ForEach-Object {try {Get-Acl -Path$_.FullName | Select-Object pschildname,pspath,accesstostring}catch{}}|Export-Csv C:\temp\acl.csv -NoTypeInformation

在查看這些文件目錄的時間戳時，我們發現這些目錄中的文件時間戳每天都會發生變化。深入研究之后，我們發現這些文件會在Altiris執行完系統或軟件掃描之后被修改。現在，根據不同組織對配置和掃描任務的需求，這樣的情況每天還有可能發生若干次。

接下來的事情就非常有趣了，當我們發現了這種特性之后，我們打算看看Cylance近期披露的攻擊方式在這里是否有效【參考資料】。

下面給出的是NSI文件夾的目錄權限，這個目錄的權限跟Outbox目錄是相同的：

接下來，我們可以嘗試使用James Forshaw的符號連接測試工具來將該目錄重定向到其他位置，然后創建一個其他目錄的掛載點，看看這個目錄下的文件是否會被改寫，而事實是我們成功了。當然了，我們還可以使用sysinternals的鏈接工具，但是這個工具要求源目錄不存在，但是我們這里的目錄已經存在并擁有‘Everyone’權限了。比如說：

如果我們把這個目錄刪除，我們就沒有權限去實現這種攻擊了。而James Forshaw的工具允許覆蓋已存在的目錄：

在這種攻擊技術中還可以使用另一個名叫mklink.exe的Windows工具，但是該工具需要高級權限，這里就不適用了，因為我們要做的就是提權。

攻擊分析

我們應該如何實現攻擊呢？別擔心，我們有很多種方法來利用這個漏洞，但是最簡單的方法就是去嘗試覆蓋整個Altiris根目錄(“C:\Program Files\Altiris\AlritisAgent\”)權限，這樣我們就可以修改SYSTEM賬號下運行的服務代碼了，也就是AeNXSAgent.exe。

下面的截圖顯示的是在掛載點修改權限之前Altiris Agent目錄以及AsNXSAgent.exe服務代碼的權限：

接下來，我們創建一個指向Altiris Agent目錄的掛載點，運行之后我們就可以讓每一個文件擁有完整權限了，實現起來非常簡單。這里我們可以使用James Forshaw的符號鏈接測試工具來創建和驗證掛載點。

接下來，我們只需要目標主機再次執行掃描任務，下面的截圖顯示的就是我們的成果：

當我們拿到了AeXNSAgent.exe的完整控制權之后，我們就可以替換服務代碼，然后重啟主機來獲取SYSTEM權限了。

Altiris Management Agent v7.6, v8.0和8.1 RU7均會受到該漏洞的影響，我們強烈建議大家盡快升級更新自己的軟件。

看完上述內容，你們掌握怎么實現Altiris權限提升漏洞分析的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！