探索网络安全新技术
攀登黑客技术最高峰

CVE-2023-29343:Windows SysInternals Sysmon 权限提升漏洞

漏洞简介

Sysmon 是 Sysinternals 工具集中的一款命令行工具,它可以在后台对 Windows 系统进行监视,并将某些事件写入到 Event Log 当中,以扩展 Windows 事件日志的相关功能。Sysmon 是纯命令行工具,无需用户交互或图形用户界面,就可以自行完成日志记录操作。

影响版本

Sysmon < 14.16

漏洞介绍

CVE-2023-29343:Windows SysInternals Sysmon 权限提升漏洞-威武网安

针对 Microsoft Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343)的POC已公开,此漏洞可能会授予经过身份验证的攻击者获取 SYSTEM 特权(Windows 环境中的最高级别权限)的能力。

此问题的核心错误涉及 Sysmon 工具,这是一种 Windows 系统服务和设备驱动程序,用于监视系统活动并将其记录到 Windows 事件日志中,问题在于 Sysmon如何验证其存档目录的访问和所有权。在上一个安全补丁之后,Sysmon被配置为检查归档目录是否存在,如果存在,则确认它属于SYSTEM。此外,它还确保仅向 SYSTEM 授予访问权限。如果满足这两个条件,Sysmon 将继续写入或删除此目录中的文件。不幸的是,低权限用户无法更改文件或目录的所有权。这就需要找到一个已经由 SYSTEM 拥有但可以授予低权限用户或任何该用户可能属于的组完全访问权限 – 或者至少是 WRITE_DAC、DELETE 和 FILE_WRITE_ATTRIBUTES。

修复方案

官方已发布安全补丁,请及时修复:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29343

漏洞参考

CVE-2023-29343

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《CVE-2023-29343:Windows SysInternals Sysmon 权限提升漏洞》
文章链接:https://www.wevul.com/1677.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册