摘要
近日,我们在Check Point ZoneAlarm防火墙的TrueVector Internet Monitor服务中发现了一个漏洞,可导致本地攻击者更改任意文件的文件权限。而在更改了文件权限之后,攻击者可以覆盖其内容,借此在目标机器上获得更高的权限。
测试版本
此漏洞已在ZoneAlarm Free Firewall v15.8.023.18219/TrueVector Internet Monitor v15.8.7.18219上成功验证。
修复
Check Point发布了修复此漏洞的新版本。而最新版本的ZoneAlarm Free Firewall为v15.8.043.18324,你可以从https://www.zonealarm.com/software/free-firewall/download下载。
在Windows 10的3月份累计更新中,也增加了对硬链接的安全处理措施。除非对目标文件进行写访问,否则将不会创建硬链接。
从Windows NT4开始,NTFS文件系统引入了硬链接这个概念,它可以让一个文件可以拥有多个访问路径。而且移除源文件不会影响硬链接,移除硬链接也不会影响源文件,不过硬链接文件的任何更改都会影响到源文件
漏洞细节
TrueVector Internet Monitor服务以LocalSystem运行,它会定期在%ProgramData%\\CheckPoint\\ZoneAlarm\\Data\\文件夹中创建大量备份文件。在创建这些文件时,文件权限会被设置为对于已授权用户能Full Control。本地攻击者可以创建与备份文件同名的硬链接,从而更改另一个文件的权限。
在更改了文件权限之后,攻击者就可以覆盖其内容,并最终在目标机器上获得更高的权限。你可以使用James Forshaw的CreateHardlink工具创建硬链接。
<code>CreateHardlink.exe "%ProgramData%\\CheckPoint\\ZoneAlarm\\Data\\bu_tosave.ndb" "%SystemRoot%\\win.ini"
CreateHardlink.exe "%ProgramData%\\CheckPoint\\ZoneAlarm\\Data\\bu_todelete.ndb" "%SystemRoot%\\win.ini"
/<code>
感谢你的阅读!
<code>本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.securify.nl/advisory/SFY20200317/zonealarm-truevector-internet-monitor-service-insecure-ntfs-permissions-vulnerability.html/<code>
閱讀更多 白帽子 的文章
