惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
The Blog of Author Tim Ferriss
S
Securelist
D
Docker
The Register - Security
The Register - Security
GbyAI
GbyAI
Recorded Future
Recorded Future
Engineering at Meta
Engineering at Meta
Stack Overflow Blog
Stack Overflow Blog
云风的 BLOG
云风的 BLOG
P
Proofpoint News Feed
罗磊的独立博客
博客园 - 【当耐特】
F
Full Disclosure
WordPress大学
WordPress大学
腾讯CDC
小众软件
小众软件
大猫的无限游戏
大猫的无限游戏
D
DataBreaches.Net
SecWiki News
SecWiki News
L
Lohrmann on Cybersecurity
I
InfoQ
MyScale Blog
MyScale Blog
量子位
Cyberwarzone
Cyberwarzone
博客园 - 三生石上(FineUI控件)
The Hacker News
The Hacker News
F
Fortinet All Blogs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Jina AI
Jina AI
博客园_首页
H
Help Net Security
K
Kaspersky official blog
酷 壳 – CoolShell
酷 壳 – CoolShell
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Webroot Blog
Webroot Blog
Blog — PlanetScale
Blog — PlanetScale
V
Vulnerabilities – Threatpost
Y
Y Combinator Blog
The Cloudflare Blog
P
Proofpoint News Feed
V
Visual Studio Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tailwind CSS Blog
爱范儿
爱范儿
P
Privacy International News Feed
Security Archives - TechRepublic
Security Archives - TechRepublic
The GitHub Blog
The GitHub Blog
C
Cybersecurity and Infrastructure Security Agency CISA
B
Blog RSS Feed

Surager

如何搓一道0day题 至少实现了 观博士合唱团新年音乐会杂记 与肯德基绝交书 纪念本博客诞生第999天 StudentUnion作协 2021湖湘杯旅游 2021陇原战”疫”httpd 旅游合集 2021上半年版
👴ve-24-001 FSRM Escalation of Privilege
2024-04-21 · via Surager

Time: 2024-04-21 Tags: binary
Link: 👴ve-24-001 FSRM Escalation of Privilege

如果 FSRM 不开发就赶紧删了吧,这玩意挖出洞都不会有人理的……

麻烦各位有能力的话在各个社区转发一下,一起讨论技术。

安全漏洞,发布日期:2024 年 4 月 21 日

发布人:👴

影响:本地权限提升

最大严重性:低

弱点: CWE-367: TOCTOU Race Condition

影响范围:Windows Server 2025 x64 up to 26085,别的没测。

👴评分:4/10 (评分/最高分)

可利用性:存在利用的可能性

致谢:

谢天谢地

安全更新:更个 jb,微软给拒绝了

FAQ

攻击者如何利用此漏洞?

攻击者可利用存在于 FSRM 文件过期中的漏洞,导致符号链接的不正确使用,然后利用该漏洞对以 SYSTEM 用户身份运行的服务器执行任意代码。

漏洞细节是什么?

在 FSRM 执行文件过期任务时,攻击者通过在某个精确的时间将文件夹设为符号链接,导致以 SYSTEM 用户身份运行的服务器将恶意文件移动到指定位置。之后,攻击者可以将一个恶意的 DLL 以 SYSTEM 用户身份运行的服务器执行。

当 FSRM 执行过期任务时,先查询当前目录中所有的文件名,保存一份副本。然后对副本中的所有文件名调用 MoveFile API 进行文件的移动。如果攻击者在 MoveFile 执行前将要移动的文件删除掉,并将 Parent Directory 设置成 Symlink,那么 MoveFile 就会尝试将目录实际指向的文件重命名。

通过提前设置好 RPC Control Symlink,攻击者可以将任意的 DLL 写入磁盘中的任意位置,进而导致本地权限提升。

目前 exploit 已经公开:https://github.com/Surager/FSRMEop

修改

版本日期描述
1.02024.04.21发布信息