[하루한줄] Two Privilege Escalation Vulnerability in Ivanti Unified Endpoint Manager

URL

Detecting known DLL hijacking and named pipe token impersonation attacks with Sysmon

Target

  • Ivanti Unified Endpoint Manager <= 2020.1.1

Explain

CVE-2020-13770: Named pipe token impersonation

해당 취약점은 프로세스가 named pipe object를 열 때 보안 attribute가 부적절하여 발생한 취약점입니다.

CreateFiledwFlagsAndAttributes 인자가 아래와 같은 attribute일 때 취약점이 발생합니다.

  • SECURITY_DELEGATION
  • SECURITY_IMPERSONATION

위의 두 attribute 중 하나로 named pipe를 열면 서버는 클라이언트 토큰을 얻고 추후 access check에 사용합니다. pipe 서버는 pipe 클라이언트의 권한, security context 등을 사용할 수 있으므로 서버보다 클라이언트의 권한이 높으면 서버는 권한 상승을 할 수 있습니다.

CVE-2020-13771: DLL search order hijacking

해당 취약점은 윈도우의 DLL Search Order를 이용한 취약점입니다. SafeDllSearchMode 설정에 관계없이 프로세스가 DLL 파일을 찾지 못하면 환경 변수 PATH에서 파일을 찾습니다. 해커가 환경 변수에 등록된 폴더에 조작된 DLL 파일을 배치하면 취약한 프로세스가 해당 DLL을 로드하고 그 프로세스의 context로 DllMain이 실행되어 권한상승을 할 수 있습니다. 해당 프로그램에서 악용할 수 있는 dll 파일은 아래와 같습니다.

  • ldprofileui.dll
  • wfapi.dll
  • DMIAPI32.DLL
  • logonsrv.dll
  • OOBCredentials.dll