留神4GEE WiFi Mini數據機driver資料夾,恐用以接管Windows
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:597
CVE編號
內文
●概述:
據ZeroDayLab研究員Osanda Malith Jayathissa分析,英國行動網路電信業者EE(Everything Everywhere),販售之4GEE WiFi Mini modem,因Alcatel開發過程之軟體瑕疵,導致ServiceManager.exe所在資料夾,兼有Unquoted Service Path及權限控管疏漏,數據機驅動程式所在資料夾(C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\),其增刪讀寫完整權力竟設定給一般帳號,故駭客無需管理者身分,可直接以同檔名惡意程式,覆蓋既有ServiceManager.exe,主機重開機後旋即生效,由於探勘技術門檻甚低,攻擊者不費吹灰之力,便可於本機取得系統權限並恣意操作,安裝後門或間諜軟體,該事件列為高度威脅,使用者一旦循USB連接PC與modem,則瞬間弱化Windows環境安全,業者已公布升級韌體,用戶宜儘速更新。
●編註:
(1)本機擴權途徑
攜行式4GEE Mini無線modem,雖為EE公司品牌,但由行動裝置業者Alcatel出廠,故此漏洞事件,實質技術責任歸屬Alcatel,modem運作時啟動一項service,服務名稱為Alcatel OSPREY3_MINI Modem Device Helper,service本身無異狀,但在cmd line使用sc qc指令查詢服務配置訊息,可觀察到其BINARY_PATH_NAME,卻是未被雙引號 ” 括住的路徑C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start,單是這項Unquoted Service Path破綻就足以讓駭客置入惡意程式且欺騙OS去執行,然最嚴重瑕疵則在資料夾EE40預設權限,竟開放給everyone群組全部操作許可,且ACL規則同意Object、Container繼承上層設定,意即任何登入windows帳號,能對EE40及其子資料夾,進行讀寫增刪,當然也能竄改下層的BackgroundService\ServiceManager.exe,ServiceManager.exe具有NT AUTHORITY\SYSTEM最高系統權力,若被植入同名惡意執行檔,重開機後自動運作,勢將對作業系統構成威脅,攻擊者能控制電腦所有行為。
原廠已更新韌體,但亦可操作NTFS檔案系統權限管理命令icacls,手動調降資料夾許可權,指令參數及執行路徑如下:
C:\Program Files\Web Connecton>icacls "EE40" /t /grant:r Everyone:(OI)(CI)R
(2)簡述Unquoted Service Path弱點
從人的角度觀之,路徑就是字串,一目瞭然,對windows運作邏輯而言,就是另外一種理解方式,若路徑內包含任何空白,就會造成OS判斷混淆,以C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe執行過程為例,OS遇到空白,會依次搜尋:
C:\Program.exe
C:\Program Files\Web.exe
C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe
當然找不到Program.exe與 Web.exe,所以才能正常執行ServiceManager.exe,但駭客若植入惡意程式名為Program.exe或Web.exe,又剛好放在對應位置,則探勘Unquoted Service Path就算成功,故程式開發者需注意,以雙引號包夾路徑”C:\Program Files\...\ServiceManager.exe”,避免此微軟作業系統專屬風險,至於本文弱點手動排除,可經登錄值編輯器regedit,找到Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper,修改ImagePath機碼值為"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start"
影響產品
解決辦法
相關連結
- https://www.youtube.com/watch?v=hOjMMOiYMzs&feature=youtu.be
- https://osandamalith.com/2018/09/17/ee-4gee-mini-local-privilege-escalation-vulnerability-cve-2018-1
- http://blog.zerodaylab.com/2018/09/zerodaylab-discovers-ee-unquoted.html
- https://thehackernews.com/2018/09/4g-ee-wifi-modem-hack.html
- https://packetstormsecurity.com/files/149492/EE-4GEE-Mini-Local-Privilege-Escalation.html
- https://shop.ee.co.uk/dongles/pay-monthly-mobile-broadband/4gee-wifi-mini-2018/details
- https://en.wikipedia.org/wiki/EE_Limited
- https://zh.wikipedia.org/wiki/EE_
- https://support.microsoft.com/zh-hk/help/919240/the-icacls-exe-utility-is-available-for-windows-serv
- http://blog.xuite.net/s0341969690/wretch/173473981-SC%25E5%2591%25BD%25E4%25BB%25A4%257CSC%25E8%25AA
- https://tulpa-security.com/2016/10/20/unquoted-service-paths/
- https://trustfoundry.net/practical-guide-to-exploiting-the-unquoted-service-path-vulnerability-in-wi
- https://1.bp.blogspot.com/-65YYEpMj4nY/W6SuDTxkjeI/AAAAAAAAyLY/s7ebAQDcL6QcUtm14o8DIXGozH00KxIGACLcB