CrowdStrike：咱们是如何发现Win64bit提权0day漏洞（CVE-2014-4113）

飓风熊猫（HURRICANE PANDA）

飓风熊猫被认为是原产于中国、主要针对基础设施公司的先进攻击者。咱们知道它们除了拥有0day漏洞外，还有其余的三种本地特权提高漏洞。咱们知道飓风熊猫使用的是“ChinaChopper”Webshell，而一旦上传这一Webshell，操做者就可试图提高权限，而后经过各类密码破解工具得到目标访问的合法凭证。

Falcon Host提供彻底可视化的攻击：发现本地权限提高漏洞（CVE-2014-4113）

from:CVE-2014-4113 

监测程序显示从WEBSHELL使用Win64.exe来提高权限 

net localgroup administrators admin /add

 

net 命令已 Local System 权限执行： 

 

随后分析Win64.exe二进制发现，它利用了一个0day 提权成SYSTEM用户，而后建立具备这些访问权限的新进程来运行参数中的命令。该文件自己只有55千字节大小，只包含几个功能： 

1. 建立一个存储部分，存储一个将被内核调用的函数指针，触发该漏洞。 
2. 利用窗口管理器的内存破坏漏洞，模拟用户交互调用回调函数。 
3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。 
4. 以SYSTEM权限执行第一个参数中的命令。 

下图演示了如何在cmd当中提高权限： 

 

该攻击代码写的很是好，成功率为100％。 

该win64.exe工具只在须要的时候上传随后马上删除。 

Win64.exe的编译时间是2014年5月3日，该漏洞至少已经利用5个月了。 

这个工具还有一个有意思的地方是，内部有一个字符串为“woqunimalegebi” 

 

该漏洞影响全部Windows x64，包括Windows 7 和 Windows Server 2008 R2 及如下版本。 

微软已经发布安全公告以及补丁MS14-058

文章转自互联网，转载请注明！