[하루한줄] SrClient DLL hijacking
URL
Target
Windows Server 2012
Explain
Windows Server 2012 R2를 제외한 모든 Windows Server 2012에서 악용할 수 있는 DLL hijacking을 통한 권한 상승 취약점이 발견되었습니다. Windows Module Installer Service의 TiWork.exe
가 Windows search order에 의거하여 존재하지 않는 리소스(SrClient.dll
)의 로드를 시도합니다. TiWork.exe
는 NT AUTHORITY\SYSTEM 권한으로 실행되기 때문에 SrClient.dll
을 hijacking 하는 것으로 권한 상승을 할 수 있습니다.
프로세스가 로드하고자 하는 DLL의 절대 주소 혹은 정확한 주소를 지정하지 않으면 Windows는 DLL search order에 따라 해당 DLL 위치를 검색합니다.
- 프로세스가 지정한 주소
- System 디렉터리 (
system32
,systemWOW64
) - Windows 디렉터리 (
C:\Windows\
) - 현재 디렉터리
%PATH%
환경 변수에 등록된 디렉터리
Third-party App에 의해 부적절한 접근 권한이 설정된 디렉터리가 %PATH%
환경 변수 값으로 등록되어 있다면 SrClient.dll
를 hijacking 할 수 있습니다. Windows의 업데이트 체크를 통해 TiWork.exe
의 실행을 트리거할 수 있고 유저 권한에서 System 권한으로 상승할 수 있습니다.
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.