如何進行EE 4GEE Mini本地提權漏洞的分析

如何進行EE 4GEE Mini本地提權漏洞的分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

前言

我在前段時間從買了一個4G調制解調器。這是一個便攜式4G WiFi移動寬帶調制解調器。有一天，我查看了安裝在電腦上的用于故障排除的服務，我看到了一個奇怪的服務，名為“Alcatel OSPREY3_MINI Modem Device Helper”。我想知道這是個什么玩意，然后我想到這可能是我的EE 4G WiFi調制解調器。然后在谷歌上搜索了一會兒，這個調制解調器是阿爾卡特公司生產的。

然后出于好奇的角度查看了安裝的服務，發現存在一個漏洞。

C:\>sc qc "Alcatel OSPREY3_MINI Modem Device Helper"
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: Alcatel OSPREY3_MINI Modem Device Helper
        TYPE               : 110  WIN32_OWN_PROCESS (interactive)
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Alcatel OSPREY3_MINI Modem Device Helper
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem

但由于文件夾存在權限問題，您不能直接編寫文件。我一開始以為這并不是問題。但是當我查看了“EE40”文件夾和W00t的文件夾權限!它被設置為“Everyone:(OI)(CI)(F)”，這意味著任何用戶都可以在該文件夾中讀寫、執行、創建、刪除任何內容，它是子文件夾。ACL規則具有OI對象繼承和CI容器繼承，這意味著該文件夾和子文件夾中的所有文件都具有相同的權限。

C:\Program Files (x86)\Web Connecton>icacls EE40
EE40 Everyone:(OI)(CI)(F)
     NT SERVICE\TrustedInstaller:(I)(F)
     NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
     NT AUTHORITY\SYSTEM:(I)(F)
     NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
     BUILTIN\Administrators:(I)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
     BUILTIN\Users:(I)(RX)
     BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
     CREATOR OWNER:(I)(OI)(CI)(IO)(F)
     APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
     APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
     APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
     APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files
C:\Program Files (x86)\Web Connecton>
C:\Program Files (x86)\Web Connecton>
C:\Program Files (x86)\Web Connecton>icacls EE40\BackgroundService
EE40\BackgroundService Everyone:(OI)(CI)(F)
                       Everyone:(I)(OI)(CI)(F)
                       NT SERVICE\TrustedInstaller:(I)(F)
                       NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                       NT AUTHORITY\SYSTEM:(I)(F)
                       NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                       BUILTIN\Administrators:(I)(F)
                       BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                       BUILTIN\Users:(I)(RX)
                       BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                       CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                       APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                       APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
                       APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
                       APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files

因為“ServiceManager。exe“是一個Windows服務可執行文件，通過植入一個同名的惡意程序"ServiceManager.exe"將導致執行二進制文件為“NT AUTHORITY\SYSTEM”，在Windows操作系統中授予最高權限。此漏洞可用于在本地Windows操作系統中升級特權。例如，攻擊者可以從一個低權限的用戶帳戶中植入一個反向shell，通過重新啟動計算機，惡意服務將作為“NT AUTHORITY\SYSTEM”啟動，使攻擊者可以完全系統地訪問遠程PC。

修復固件

易受攻擊的軟件版本為“EE40_00_02.00_44”：
在向EE報告了漏洞后，他們發布了一個補丁來更新調制解調器。按照以下步驟將調制解調器更新到最新的補丁。1.進入路由器的默認網關:http://192.168.1.12.單擊“檢查更新”文本以更新固件。更新后的補丁軟件版本為“EE40_00_02.00_45”，從您的計算機中刪除先前安裝的軟件。

手動修復洞

1. 在開始菜單或運行提示符中輸入“regedit”，打開Windows注冊表編輯器。2.前往以下路徑:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper3. 向“ImagePath”值添加雙引號:"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start"

這也可以用這種方式來做。您必須打開具有管理權限的CMD提示符并運行此命令。對于64-bit Windows：reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f對于32-bit Windows：reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper" /v ImagePath /t REG_EXPAND_SZ /d "\"C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start\"" /f

手動修復文件夾權限

打開CMD提示符，轉到Alcatel調制解調器服務的位置，然后輸入以下命令。

cd “C:\Program Files\Web Connecton\”
icacls "EE40" /t /grant:r Everyone:(OI)(CI)R

披露時間表

05-07-2018: ZeroDayLab顧問(Osanda Malith Jayathissa)通過twitter向EE報告了這個問題05-07-2018:通過郵件向阿爾卡特匯報。12-07-2018: Osanda Malith Jayathissa聯系MITRE。16-07-2018: CVE指定CVE-2018-14327。25-07-2018: EE通過電子郵件聯系了Osanda Malith Jayathissa更多的技術細節。26-07-2018:致電Osanda Malith Jayathissa和EE進一步討論漏洞。26-07-2018: EE確認補丁將在一周內上線。03-08-2018: Osanda Malith Jayathissa聯系EE更新補丁，EE表示他們將在8月10日周五之前提供更多信息。10-08-2018: EE表示patch已經被推遲了，并且會通知Osanda Malith Jayathissa更新。23-08-2018: EE回復了一個補丁更新，供Osanda Malith Jayathissa核實。ZeroDayLab顧問證實了補丁的成功運行。03-09-2018: EE通知Osanda Malith Jayathissa說補丁已經發布。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。