Problem Windows Server ailesi isletim sistemlerinin Active Directory üyesi Windows XP SP2 isletim sistemi kullanan user/computer nesnelerine uyguladıgı Group Policy Object(GPO) lar'ın Command Prompt uygulamasını deaktif edereken kullandıgı registry degerinin yanlıs denetlenmesinden kaynaklanıyor.
Bu açıktan "cmd.exe" uygulamasını restricted user'lar için korumalı olan \system32 dizininden alıp gerekli degisiklikler yapıldıktan sonra restricted user'ın kendi okuma/yazma hakkı olan bir dizine kaydetmesi ile basarılı bir sekilde yararlanılabiliyor. Açık ek olarak "Command Prompt" üzerinde uygulanan tüm Software Restricted ilkeleri (hashing, dosya adına göre kısıtlama ve registry kontrollü kısıtlama) ni geçersiz kılar.
Açık tüm güncellestirilmeleri yapılmıs Windows Server ailesi ve Windows XP kullanan clientları etkiliyor.
Açıgı kullanan bir PoC videosu
http://www.snakeforce.com/gpo.wmv
adresinden indirilebilir.
Yazar ve Açıgı Kesfeden: İbrahim Akgül
GPO ile kısıtlanan komut satırı kullanımı
-
velociraptor
- Yottabyte4
- Mesajlar: 46456
- Kayıt: 14 Mar 2006, 02:33
- cinsiyet: Erkek
- Teşekkür etti: 4563 kez
- Teşekkür edildi: 3896 kez