CVE-2019-6177：影響聯想設備8年的漏洞

Lenovo Solution Centre（LSC）是Lenovo為Think產品新發布的一款應用軟體，該軟體可以快速診斷系統健康狀況、網路連接、系統安全情況。同時LSC在許多Windows系統的聯想設備中都是預裝軟體。

Pen Test Partners研究人員在LSC軟體中發現了一個許可權提升漏洞，可以用來在目標系統上執行任意代碼，給惡意攻擊者Administrator或SYSTEM級許可權。

Pen Test研究人員稱，該漏洞是一個DACL覆寫漏洞，也就是說高許可權的聯想進程可以隨意地覆寫低許可權的用戶可以控制的文件的許可權。

Lenovo回應稱SLC是2011年發布的，但在2018年11月30日已經官方結束了生命。所以當該漏洞被發現的時候，可能已經影響所有安裝了LSC的聯想設備8年了。Lenovo建議用戶升級到與LSC功能類似的Lenovo Vantage軟體。雖然LSC已經結束了其生命周期，但最終還是被分配了CVE編號CVE-2019-6177。聯想官方通告稱：

DACL覆寫是一個簡單的Windows許可權提升技巧，高許可權的進程可以覆寫低許可權用戶控制的文件的DACL。為了成功利用該漏洞，要覆寫文件的DACL來取消對許可權的限制，比如給低許可權的用戶組寫/編輯許可權。

LSC安裝後，會在\Lenovo\Lenovo Solution Center Launcher加一個任務，該任務是以最高許可權運行的。可以在任務管理器中查看：

該任務會在login事件後10分鐘運行LSC.Services.UpdateStatusService.exe二進位文件。

二進位文件會覆寫C:\ProgramData\Lenovo\LSC\log\目錄的所有文件的DACL，給認證用戶組（Authenticated Users）中的所有成員完全訪問許可權。所以Authenticated Users中的所有成員都會有這些文件的訪問許可權。

為了成功利用該來的，需要在C:\ProgramData\Lenovo\LSC\log\目錄創建一個硬鏈接文件，該文件會鏈接到要覆寫許可權的文件。

比如，在目錄中創建一個任意名的文件，然後硬鏈接它到系統host文件：

CreateHardlink.exe 「C:\ProgramData\Lenovo\LSC\log\2019-01-01.log」 「C:\Windows\System32\drivers\etc\hosts」

然後登出再登陸，10分鐘後，host文件的DACL就被覆寫了：

為了武器化該漏洞，可以覆寫以SYSTEM許可權運行的進程載入的DLL的DACL，然後用shellcode覆寫DLL，並觸發該進程。

更多技術細節參見：https://www.pentestpartners.com/security-blog/privesc-in-lenovo-solution-centre-10-minutes-later/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！