从这些指令返回后,EIP(扩展指令指针)返回具有内核特权的用户空间中的调用者代码,后续代码将通过修改SYSTEM的进程令牌来实现当前进程的提权。
图11. 替换进程令牌指针
可持续性
提权后,漏洞利用代码会在本地Startup文件夹中释放一个.vbs文件,即PoC恶意软件。
图12. 释放.vbs文件到Startup文件夹的代码信息
防御建议
及时部署针对以上0day漏洞的安全补丁:
CVE-2018-4990 | Adobe Acrobatand Reader可用的安全更新 | APSB18-09
https://helpx.adobe.com/security/products/acrobat/apsb18-09.html
CVE-2018-8120 | Win32k提权漏洞
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120
如工作环境不需要,则禁用Adobe Acrobat and Acrobat Reader中的JavaScript;
加强终端对利用PDF附件进行鱼叉式钓鱼攻击和其他社工攻击的防范意识。
IoC信息(SHA-256):
d2b7065f7604039d70ec393b4c84751b48902fe33d021886a3a96805cede6475
dd4e4492fecb2f3fe2553e2bcedd44d17ba9bfbd6b8182369f615ae0bd520933
4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01
0608c0d26bdf38e064ab3a4c5c66ff94e4907ccaf98281a104fd99175cdf54a8