歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

F5 Networks Endpoint Inspector可以通過特殊構造的頁面觸發RCE

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

F5端點檢查器(F5 Networks Endpoint Inspector)是一個安全檢查應用程序,它可以被web瀏覽器調用,來掃描客戶端的運行是否符合安全要求。

近期有研究人員發現,如果F5端點檢查器可能會被惡意網站濫用,通過特殊構造的頁面觸發RCE。

具體利用過程,請看此視頻

下面我們來詳細說明一下這個過程:
1.可以看到,如果瀏覽http://naughty.website/網站,該網站包含一個“特別制作”的f5-epi:// URI,這會觸發F5端點檢查器的運行。
2.彈出一個UAC框,顯然是試圖運行一個由合法的F5網絡證書簽名的進程。
3.然后彈出powershell.exe,作為f5instd.exe的子進程運行,該進程具有管理員權限。
實事求是地講,這并不是一個真正意義上的漏洞利用過程。所以研究人員在向F5報告時,該公司并不承認這是一個漏洞,原因何在呢?他們認為有太多的先決條件可以讓該進程發生意外。為了說明這個情況,我會進行以下測試。
以下是不利用這個“非漏洞”的基本先決條件:
1.受影響的用戶必須具有管理員權限,因此他們可以單擊UAC彈出窗口;
2.攻擊者必須擁有可信的代碼簽名證書才能簽署惡意CAB文件;
如果你想觸發漏洞(對于F5簽名的二進制文件,只有一個干凈的UAC彈出窗口),CAB文件必須由“F5 Networks Inc”、“F5 Networks”或“uRoam Inc”簽名。f5instd.exe二進制檢查簽名“簽名者名稱”字段中的字符串:

你可以決定使用這些名稱中的任何一個來獲得受信任的代碼簽名證書的真實程度。我要說的是,“uRoam Inc”可能并不存在,因為F5在2003年買下了它。如果你想嘗試一種更復雜的方法來執行任意代碼,可以看下圖。

然而,無論如何,即使CAB簽名中的“簽名者名稱”不是這三個字符串里的一個,任意代碼仍然會運行,用戶只需點擊另一個警告即可。
實際的漏洞利用過程,請點此視頻觀看。
注意:彈出的URL白名單框通常顯示在新的網頁上,但它確實不一致。
另一個提示會詢問用戶,他們是否真的想要提取惡意CAB文件,盡管它不是由F5或uRoam簽名的。
不管怎樣,這就是F5說它不是漏洞的原因。具體說明如下:
我們的團隊已審核了你們分析的報告,并確定它不是一個漏洞。安裝彈出窗口清楚地顯示簽名者和名稱,并顯示警告消息。此行為與用戶從網絡下載文件并單擊它以在瀏覽器中運行它沒有什么不同。其中也沒有自動權限升級的情況,如果安裝需要管理員權限,而用戶沒有同意,那么其他人將無法安裝該軟件包。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺