Работаю над эксплоитом для CVE-2022-37958 (NEGOEX).
Что уже сделано:
1) PoC DoS - ребут системы, как на видео от Валентины из IBM X-Force Red
2) Сканер уязвимости: безопасно активирую уязвимость для каждого протокола, где используется NEGOEX. В целом полезный инструмент, чтобы определить установлены ли обновления с сентября 2022, надо больше таких для более точного определения версии целевой системы.
Эксплоит и в правду must have! Подходит для всех версий Windows начиная с семерки, несколько протоколов, а не только SMB как EternalBlue. Причем я заметил, затрагивает и RPC, хотя почему то никто об этом не писал.
Для реализации RCE мне необходимо знать расположение NTDLL, чтобы записать нужную последовательность в стек. Для этого надо сделать утечку, я проверил - в heap есть ссылки на некоторые модули, из которых можно выцепить адрес NTDLL.
Желательно бы знать и версию сборки, только пока непонятно как. Видно придется несколько попыток делать, в порядки убывания, не очень красиво, но других вариантов не вижу.
С помощью CVE-2022-37958 произвести утечку очень сложно, есть риск ребута. Поэтому я решил искать другие способы утечки, вполне подойдет утечка RPC (хотя это ограничит возможности эксплоита).
Может есть какие то решения?
К примеру: CVE-2023-36596 от 10 октября 2023 (Remote Procedure Call Information Disclosure Vulnerability) непонятно как эксплуатировать. Новая rpcrt4.dll отличается от предыдущей только тем, что функция Feature_MSRC71389_RpcEncapsulatedUnionCorrFlags__p переименована в Feature_2044414269__private_IsEnabled
Что уже сделано:
1) PoC DoS - ребут системы, как на видео от Валентины из IBM X-Force Red
2) Сканер уязвимости: безопасно активирую уязвимость для каждого протокола, где используется NEGOEX. В целом полезный инструмент, чтобы определить установлены ли обновления с сентября 2022, надо больше таких для более точного определения версии целевой системы.
Эксплоит и в правду must have! Подходит для всех версий Windows начиная с семерки, несколько протоколов, а не только SMB как EternalBlue. Причем я заметил, затрагивает и RPC, хотя почему то никто об этом не писал.
Для реализации RCE мне необходимо знать расположение NTDLL, чтобы записать нужную последовательность в стек. Для этого надо сделать утечку, я проверил - в heap есть ссылки на некоторые модули, из которых можно выцепить адрес NTDLL.
Желательно бы знать и версию сборки, только пока непонятно как. Видно придется несколько попыток делать, в порядки убывания, не очень красиво, но других вариантов не вижу.
С помощью CVE-2022-37958 произвести утечку очень сложно, есть риск ребута. Поэтому я решил искать другие способы утечки, вполне подойдет утечка RPC (хотя это ограничит возможности эксплоита).
Может есть какие то решения?
К примеру: CVE-2023-36596 от 10 октября 2023 (Remote Procedure Call Information Disclosure Vulnerability) непонятно как эксплуатировать. Новая rpcrt4.dll отличается от предыдущей только тем, что функция Feature_MSRC71389_RpcEncapsulatedUnionCorrFlags__p переименована в Feature_2044414269__private_IsEnabled
Последнее редактирование:
