👴ve-24-001 FSRM Escalation of Privilege

如果 FSRM 不开发就赶紧删了吧，这玩意挖出洞都不会有人理的……

麻烦各位有能力的话在各个社区转发一下，一起讨论技术。

安全漏洞，发布日期：2024 年 4 月 21 日

发布人：👴

影响：本地权限提升

最大严重性：低

弱点: CWE-367: TOCTOU Race Condition

影响范围：Windows Server 2025 x64 up to 26085，别的没测。

👴评分：4/10 (评分/最高分)

可利用性：存在利用的可能性

致谢：

安全更新：更个 jb，微软给拒绝了

FAQ

攻击者如何利用此漏洞？

攻击者可利用存在于 FSRM 文件过期中的漏洞，导致符号链接的不正确使用，然后利用该漏洞对以 SYSTEM 用户身份运行的服务器执行任意代码。

漏洞细节是什么？

在 FSRM 执行文件过期任务时，攻击者通过在某个精确的时间将文件夹设为符号链接，导致以 SYSTEM 用户身份运行的服务器将恶意文件移动到指定位置。之后，攻击者可以将一个恶意的 DLL 以 SYSTEM 用户身份运行的服务器执行。

当 FSRM 执行过期任务时，先查询当前目录中所有的文件名，保存一份副本。然后对副本中的所有文件名调用 MoveFile API 进行文件的移动。如果攻击者在 MoveFile 执行前将要移动的文件删除掉，并将 Parent Directory 设置成 Symlink，那么 MoveFile 就会尝试将目录实际指向的文件重命名。

通过提前设置好 RPC Control Symlink，攻击者可以将任意的 DLL 写入磁盘中的任意位置，进而导致本地权限提升。

目前 exploit 已经公开：https://github.com/Surager/FSRMEop

修改