CVE-2019-1388 Windows UAC提权分析

漏洞简介

该漏洞存在于Windows的UAC（用户帐户控制）机制中。

在默认设置下，Windows会在一个独立的桌面环境中显示所有的UAC提示，称为Secure Desktop。

这些提示由名为consent.exe的可执行文件生成，该文件以NT AUTHORITY\SYSTEM权限运行，具有系统级的完整性。

由于用户可以与该用户界面（UI）进行交互，因此对UI的严格限制是必要的。否则，低权限用户可能通过UI操作的循环路径以SYSTEM权限执行操作，即使在隔离状态下看似无害的UI特征也可能成为引发任意控制动作链的起点。

实际上，UAC会话中包含尽可能少的点击操作选项，利用该漏洞可以轻松地提升权限到SYSTEM级别。

影响范围

SERVER

代码语言：JavaScript 运行次数：0

Windows 2008r2    7601    ** link OPENED AS SYSTEM **
Windows 2012r2    9600    ** link OPENED AS SYSTEM **
Windows 2016    14393   ** link OPENED AS SYSTEM **
Windows 2019    17763   link NOT opened

WORKSTATION

代码语言：JavaScript 运行次数：0

Windows 7 SP1    7601    ** link OPENED AS SYSTEM **
Windows 8        9200    ** link OPENED AS SYSTEM **
Windows 8.1        9600    ** link OPENED AS SYSTEM **
Windows 10 1511    10240   ** link OPENED AS SYSTEM **
Windows 10 1607    14393   ** link OPENED AS SYSTEM **
Windows 10 1703    15063   link NOT opened
Windows 10 1709    16299   link NOT opened

环境搭建

在Windows 7 SP1上进行漏洞复现实验前：

开始实验

1. 以管理员权限运行HHUPD.EXE。

2. 显示详细信息，查看此发布者的证书信息。

3. 点击颁发者右侧的超链接。

4. 等待一段时间后，IE浏览器将自动运行并访问该链接，此时可能会出现404或链接无法访问（此时浏览器以SYSTEM权限运行）。

5. 将该网页直接另存为文件，选择位置C:\Windows\System32\*.*。

6. 选择cmd.exe并运行，此时查看权限，已经是SYSTEM权限。

修复建议

请参考Microsoft安全公告：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1388

参考文章

• https://github.com/jas502n/CVE-2019-1388
• https://www.zerodayinitiative.com/blog/2019/11/19/thanksgiving-treat-easy-as-pie-windows-7-secure-desktop-escalation-of-privilege