NVIDIA随意文件写入号令执行（CVE-2019-5674）

破绽介绍

在这篇文章中，我们将对NVIDIA GeForce Experience（GFE）中的随意文件写入破绽（CVE-2019-5674）进行深入剖析。人人都知道，好多使用了N卡的设备在安装NVIDIA GeForce产物时默认都邑安装NVIDIA GeForce Experience（GFE），因为存在这个破绽，冲击者将可以强制让应用法式以特权用户身份在方针系统中写入随意文件。简洁来说，你能够经由重写要害系统文件来让主机无法正常办事，并且你甚至还能够掌握、行使和窃取方针系统中的数据。

[原创文章：www.ii77.com]

因为GFE在写入日志文件时使用的是SYSTEM用户权限，这种不平安的权限设置将导致随意系统文件均可被重写。除此之外，日志文件中的数据也是用户可掌握的，冲击者将能够向日志文件中注入掌握号令，然后将其存储为batch文件来执行并实现提权。 [原创文章：www.ii77.com]

NVIDIA GeForce Experience

凭据NVIDIA官网的介绍，GeForce Experience GFE不光能够更新升级显卡驱动，并优化你的游戏设置，并且还能够截图，或跟同伙分享视频流文件。更主要的是，它能够给N卡用户供应更多的附加功能。

破绽发现

其时在剖析NVIDIA办事和应用法式时，我先打开的是历程监控软件（Procmon），剖析后我发现，有两个跟NVIDIA有关的历程或者会有搞头：nvcontainer.exe和NVDisplay.Container.exe。接下来，我在Procmon中添加了一个过滤器来查察*container.exe会向那些文件写入数据。

在过滤器的匡助下，我们只需要存眷“写入文件”的把持即可，人人能够从下图中看到，这些历程会以“NT AUTHORITY\SYSTEM”来向“C:\ProgramData”目录中写入多个日志文件（个中还包罗通俗用户能够点窜的文件）。

搜检这些文件的权限之后，我们能够看到“Everyone”组中的用户拥有对这些文件的完整掌握权。

所以，SYSTEM组和Everyone组中的成员均可随意掌握这些文件，包罗建立跟其他系统文件的硬链接或符号链接。若是冲击者不克以通俗用户身份来点窜某个系统文件，那么在建立了跟该文件相关系的链接之后，SYSTEM历程将搜刮这个链接（自己就是日志文件，默认时可写入的），并许可向该文件写入数据。受影响的文件将包罗要害系统文件，而这些文件一旦被不法点窜，将导致应用法式或把持系统溃逃。

行使随意文件写入破绽

在行使该破绽前，我们需要使用symboliclink-testing-tools来建立符号链接和硬链接，因为该对象能够帮我们以通俗用户权限建立系统文件的链接。在测试过程中，我还使用了Createsymlink对象并建立了一个暂时符号链接：“C:\ProgramData\NVIDIACorporation\nvstapisvr\nvstapisvr.log”=>“C:\windows\test.file”，这个test.file文件只有治理员权限可写。为了确保符号链接建立成功，我们需要让“C:\ProgramData\NVIDIACorporation\nvstapisvr\”目录为空，若是该目录不为空，则会看到如下图所示的错误信息：

接下来，当NVIDIA特权历程向日志文件“C:\ProgramData\NVIDIACorporation\nvstapisvr\nvstapisvr.log”中写入数据时，该历程实际上是在向“C:\windows\test.file”写入数据。

这就表明，该破绽能够许可我们重写随意系统文件。但如许还远远不敷，因为我们还无法让某些文件溃逃或让系统拒绝办事。这是因为特定日志文件中的数据今朝仍是弗成掌握的，它只会写入所有本该记录的日志数据。

是以，我们需要掌握写入到日志文件中的数据。经由剖析之后，我发现“C:\ProgramData\NVIDIACorporation\nvstreamsvc\nvstreamsvcCurrent.log”中包含一些有趣的字符串，并且当GeForce Experience的“GameStream”开关打开或封闭时，“C:\ProgramData\NVIDIA Corporation\NvStreamSrv\settings.txt”中包含的某些变量会写入到nvstreamsvcCurren日志文件中。

点击这个开关，能够让“C:\ProgramData\NVIDIACorporation\nvstreamsvc\nvstreamsvcCurrent.log”记录settings.txt文件中包含的URL地址：

接下来，我测验向这些变量值后背添加一些号令来点窜日志文件：

果真成功了：

固然这里有一堆其他的日志数据，但我们注入的号令最终照样会在.bat文件中执行的。再加上如今我能够向随意目录中写入文件，那么我就能够向存在破绽的文件中注入有效号令，然后把文件写入到系统启动目录中，然后执行注入的号令，最终实现提权。

但这里照样有一个问题，也就是建立符号链接的目录必需为空，但如今的目录包含NVIDIA办事需要使用的文件，并且我还删不掉。然则，这个问题进入平安模式就解决了。

总结一下：

1、将需要执行的号令添加到“C:\ProgramData\NVIDIACorporation\NvStreamSrv\settings.txt”；

2、 清空“C:\ProgramData\NVIDIACorporation\nvstreamsvc\”目录；

3、 建立符号链接：“C:\ProgramData\NVIDIACorporation\nvstreamsvc\nvstreamsvcCurrent.log”=>“C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\cmd.bat”

建立符号链接：

切换“GameStream”办事的开关，然后系统启动目录中就会有我们的cmd.bat文件了：

完整提权

NVIDIA自己带有好多batch文件，这些文件能够在“C:\Windows”目录中找到：

当“NVIDIA Display Container”或“NVIDIA TelemetryContainer”办事溃逃了两次以上时，这些文件就会以SYSTEM权限运行，这也是NVIDIA办事的恢复机制：

这些文件同样是我们能够行使的，我们只需要让NVIDIA办事溃逃三次，就能够强制让BAT文件执行，并实现提权。

所受影响版本

GeForce Experience <= 3.18

 * 参考起原：rhinosecuritylabs，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM

介绍阅读