| 导读 | 虽然和微软终端服务客户端 (Microsoft Terminal Services Client, MSTSC) 相关的一个 DLL 侧载漏洞可被用于绕过安全控制,但微软表示由于利用该漏洞要求提升权限,因此并不打算发布补丁。 |
STSC 软件旨在帮助 Windows 用户通过远程桌面协议 (RDP) 连接到远程计算机上。
安全公司Cymulate 的研究员发现,该 MSTSC 应用程序在未验证完整性的情况下下载了一个 DLL 文件 mstscax.dll,从而导致能够替换该合法 DLL 的攻击者绕过安全控制如 AppLocker(帮助用户控制能够运行的应用和文件)。
攻击者可以用具有和 Windows\System32 文件夹中 mstscax.dll 文件名称相同的恶意文件放攻击。然而,发动攻击要求具有管理员权限,而这也是微软拒绝修复的理由。微软援引其关于修复何种 DLL 劫持漏洞类型的文档进行了说明。
不过,研究员还说明了一种无需管理员权限的利用后攻击场景。例如,具有对系统目录读取权限的低权限攻击者能够将 mstsc.exe 复制到不安全的文件夹中并在其旁边放置恶意 mstscaxdl。攻击者之后运行 mstsc.exe 导致在远程桌面客户端上下文中加载该恶意 DLL,绕过多种安全控制。
研究人员描述了攻击者具有目标设备上的低权限并希望执行 Meterpreter 反向 shell 的攻击场景:“攻击者试图执行该恶意 shell,而安全控制阻止了这种尝试。攻击者将 mstsc.exe 复制到一个不安全额目录中,并将恶意 shell 放到 mstscax.dll 中并执行 mstsc.exe。由于mstsc.exe 是一个系统二进制文件,由微软签名,因此被安全控制视作可信进程。Mstsc.exe 加载该恶意 shell。这时,恶意代码在 mstsc.exe 上下文中运行,从而有效地绕过安全控制。”
该攻击已在 Windows 10 上进行了测试,研究员认为这种攻击可能还适用于 Windows 其它版本。他们还指出,根据所执行恶意代码的不同,攻击者还可能利用该漏洞提升权限,他们只需说服用户通过提升后的权限执行攻击者文件夹中的 mstsc.exe 文件即可。
Cymulate 公司认为组织机构应当警惕这种漏洞的危害,因为 DLL 侧载技术曾被多个威胁行动者部署其恶意软件,其中不乏 APT 组织。
本文地址:https://www.linuxprobe.com/ms-mstsc-bug.html编辑:薛鹏旭,审核员:清蒸github