主要观点总结
本文讨论了趋势科技ZDI计划中提交的链接跟随漏洞的数量和演变。文章强调了如何利用这些漏洞,特别是通过创建链接来影响文件操作的安全性。文章还讨论了防御措施和新技术,如使用FILE_FLAG_OPEN_REPARSE_POINT标志、检查重解析标签、使用受保护和隐藏文件等。同时,文章也详细描述了针对Avast Free Antivirus和AVG AntiVirus Free的链接跟随权限提升漏洞的利用案例,展示了如何利用这些漏洞创建拒绝服务条件或进行本地权限提升。最后,文章提到了链接跟随漏洞的潜在应用,以及未来的研究方向。
关键观点总结
关键观点1: 趋势科技ZDI计划中的链接跟随漏洞数量在过去几年迅速增加,这些漏洞的发现让我们更深入地了解了攻击者如何利用这些漏洞。
链接跟随漏洞发生在应用程序尝试通过文件名访问文件,但未能正确阻止文件名解析为非预期资源时。这类漏洞使得恶意用户能够通过创建NTFS联结、硬链接或符号链接,引导应用程序访问系统上的不同位置。
关键观点2: 侦察寻找链接跟随漏洞需要寻找设计为执行各种文件操作的目标,并关注文件操作如创建、复制、移动、重命名或删除文件。对文件或文件夹的自主访问控制列表(DACL)的任何修改也可能值得关注。
为了防止CreateFile操作跟随链接,开发人员已经采用了几种策略。其中使用FILE_FLAG_OPEN_REPARSE_POINT标志是一种有效方法,它阻止默认的跟随重解析点行为,而是打开重解析点本身。
关键观点3: 研究人员在Avast Free Antivirus和AVG AntiVirus Free中发现了链接跟随拒绝服务漏洞和本地权限提升漏洞。通过从隔离区恢复文件的过程,可以滥用这些漏洞来创建任意目录,进而制造拒绝服务条件或提升本地权限。
在恢复文件的过程中,如果文件的父目录不存在,AvastSvc.exe进程将被触发以重新创建不存在的目录。由于未使用FILE_FLAG_OPEN_REPARSE_POINT标志,也没有在创建目录之前检查是否存在重解析点,使得恶意用户有机会创建任意目录并滥用此行为来制造拒绝服务条件。
关键观点4: 还存在一种情况是,如果在重建路径的过程中被打断,会发生什么?如果在AvastSvc.exe之前创建路径中的某个目录,可能会导致有趣的行为。如果恶意用户能在正确的时机创建链接并赢得竞态条件,就可以利用这个漏洞来提升权限。
要成功利用这种漏洞,需要在短时间内执行多个操作,包括创建目录、设置标志、创建链接等。这需要一些技巧和策略来提高成功的机会。
免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。
原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过
【版权申诉通道】联系我们处理。
