Microsoft Windows用户访问控制绕过本地特权提升漏洞（CNVD-2010-2938）

admin

0
文章

0
评论

2023-12-26 12:00:41 Ali_nonvd 来源：ZONE.CI 全球网 0 阅读模式

Microsoft Windows用户访问控制绕过本地特权提升漏洞（CNVD-2010-2938）

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2010-11-25

漏洞描述

Microsoft Windows是一款微软开发的操作系统。RtlQueryRegistryValues函数可用于通过查询表查询注册表值，给定EntryContext字段作为输出缓冲区，存在的问题是此字段即可作为UNICODE_STRING结构处理也可以是前面带了一个ULONG长度值的缓冲区，这是由被查询的注册表键值类型来决定的。使用仅需用户权限即可操作的注册表键值，更改其类型为REG_BINARY即可溢出内核。当Win32k.sys->NtGdiEnableEudc查询HKCU\EUDC\[Language]\SystemDefaultEUDCFont注册表键值时，它假定该注册表键值为REG_SZ，因此栈上的缓冲区为UNICODE_STRING结构，此结构中第一个ULONG值代表字符串缓冲区长度，但是键值值为REG_BINARY类型，会错误的解释作为给定缓冲区的长度，从而覆盖堆栈。.text:BF81BA91 pushesi ; Environment.text:BF81BA92 pushesi ; Context.text:BF81BA93 pushoffset ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A ; QueryTable.text:BF81BA98 pushedi ; Path.text:BF81BA99 lea eax, [ebp+DestinationString].text:BF81BA9C pushesi ; RelativeTo.text:BF81BA9D mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.QueryRoutine, esi ; _RTL_QUERY_REGISTRY_TABLE * SharedQueryTable.text:BF81BAA3 mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.Flags, 24h.text:BF81BAAD mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.Name, offset aSystemdefaulte ; "SystemDefaultEUDCFont".text:BF81BAB7 mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.EntryContext, eax.text:BF81BABC mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.DefaultType, esi.text:BF81BAC2 mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.DefaultData, esi.text:BF81BAC8 mov ?SharedQueryTable@@3PAU_RTL_QUERY_REGISTRY_TABLE@@A.DefaultLength, esi.text:BF81BACE mov dword_BFA198FC, esi.text:BF81BAD4 mov dword_BFA19900, esi.text:BF81BADA mov dword_BFA19904, esi.text:BF81BAE0 callds:__imp__RtlQueryRegistryValues@20 ; RtlQueryRegistryValues(x,x,x,x,x).text:BF81BAE6 mov [ebp+var_8], eax堆栈跟踪显示调用进程如下：GDI32.EnableEUDC ->NtGdiEnableEudc ->GreEnableEUDC ->sub_BF81B3B4 ->sub_BF81BA0B ->RtlQueryRegistryValues (发生溢出)设计一个注册表键值可精确的覆盖栈上调用函数的返回地址，导致以内核模式执行任意缓冲区中的代码。在POC中，缓冲区中包含简单的内核PE装载，最终会装载一个驱动而无视UAC以高特权执行"cmd.exe”。