[하루한줄] SrClient DLL hijacking
URL
Target
Windows Server 2012
Explain
Windows Server 2012 R2를 제외한 모든 Windows Server 2012에서 악용할 수 있는 DLL hijacking을 통한 권한 상승 취약점이 발견되었습니다. Windows Module Installer Service의 TiWork.exe가 Windows search order에 의거하여 존재하지 않는 리소스(SrClient.dll)의 로드를 시도합니다. TiWork.exe는 NT AUTHORITY\SYSTEM 권한으로 실행되기 때문에 SrClient.dll을 hijacking 하는 것으로 권한 상승을 할 수 있습니다.
프로세스가 로드하고자 하는 DLL의 절대 주소 혹은 정확한 주소를 지정하지 않으면 Windows는 DLL search order에 따라 해당 DLL 위치를 검색합니다.
- 프로세스가 지정한 주소
- System 디렉터리 (
system32,systemWOW64) - Windows 디렉터리 (
C:\Windows\) - 현재 디렉터리
%PATH%환경 변수에 등록된 디렉터리
Third-party App에 의해 부적절한 접근 권한이 설정된 디렉터리가 %PATH% 환경 변수 값으로 등록되어 있다면 SrClient.dll를 hijacking 할 수 있습니다. Windows의 업데이트 체크를 통해 TiWork.exe의 실행을 트리거할 수 있고 유저 권한에서 System 권한으로 상승할 수 있습니다.
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.