MS16-032 - CVE-2016-0099 Secundary Logon Service

A CVE-2016-0099 foi publicada em 2016 e é uma vulnerabilidade para Windows onde as funções CreateProcessWithToken/CreateProcessWithLogon do serviço de Logon Secundário não trata de forma correta inputs de acesso. 

A vulnerabilidade afeta as seguintes versões do Windows: 

Windows Vista SP2

Windows Server 2008 SP2 e R2 SP1

Windows 7 SP1

Windows 8.1

Windows Server 2012 Gold e R2

Windows RT 8.1

Windows 10 Gold e 1511

Exploit-DB Publicação

O exploit 39719 foi publicado em 21/04/2016 com o script em Powershell para explorar a vulnerabilidade. O autor do exploit é Ruben Boonen (@FuzzySec

OWASP Definição

A escalação de privilégio em um sistema é classificada pelo OWASP Top 10 como Broken Access Control. Isto é, quando um sistema permite a escalação de privilégio dando acesso administrativo indevido a partir de uma credencial comum, sem privilégios, essa vulnerabilidade consiste na quebra do controle de acesso do sistema. 

POC - Prova de Conceito

Cenário: Durante uma invasão, o atacante encontra um servidor Windows Server 2012 R2. O atacante já possui uma credencial e o servidor possui a porta RDP-3389 aberta. Ao realizar o acesso, o atacante faz um reconhecimento interno no servidor, a credencial possui permissão para executar scripts em powershell no servidor. A partir desse ponto, o atacante procura por exploits públicos para realizar a escalação de privilégio no S.O

Na imagem abaixo, o atacante usa um script em powershell para fazer um reconhecimento na rede interna a partir do servidor atacado. 


Ao executar o script do exploit, uma mensagem de erro informa que o script não é "confiável" para execução. Neste caso é necessário fazer o bypass da Execution Policy do powershell

Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope process


Posteriormente, é feito a importação do módulo do exploit/script pelo comando Import-Module e na sequência o comando Invoke-MS16-032 para executar a elevação de privilégio 


Escalação de privilégio concluída !!


No windows, o usuário equivalente ao root é o SYSTEM. Esse usuário possui full acesso aos arquivos e serviços do sistema operacional. 

Mitigação

Atualize o sistema operacional para versões mais recentes do Windows Server. 

GitHub

Para rápido acesso ao script do exploit, eu disponibilizei no meu github. 

ms16-032-exploit

Referência:

[+] CVE-2016-0099 

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0099

[+] OWASP 

https://owasp.org/www-project-top-ten/2017/A5_2017-Broken_Access_Control

[+] Exploit-DB

https://www.exploit-db.com/exploits/39719







Comentários

Postagens mais visitadas