VULHUB ™

Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。 Altiris客户端GUI的主窗口有一个隐藏按键，该按键的标题为"命令提示符"。点击这个按键会导致GUI试图用以下命令行参数调用CreateProcess()： c:\Program Files\Altiris\AClient\cmd.exe 客户端GUI还有一个ListView控件，可用于覆盖进程内存。本地攻击者可以使用ListView覆盖静态指针，修改命令行参数，导致以SYSTEM级权限执行cmd.exe shell。 部署服务器代理使用LoadLibrary() API函数并传送数据段中字符串的静态地址。如果本地用户使用ListView覆盖数据段字符串，就可以导致代理加载恶意的dll文件。 aclient.exe代码： 004AA890 PUSH ESI 004AA891 PUSH EDI 004AA892 PUSH AClient.005858A0 ; ASCII kernel32.dll ; 004AA897 XOR EDI,EDI 004AA899 CALL DWORD PTR DS: KERNEL32.LoadLibrar ; 然后恶意的dll文件就会生成以LocalSystem权限运行的命令shell。

Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案，用于从统一的位置部署和管理服务器、桌面和笔记本等。 Altiris客户端GUI的主窗口有一个隐藏按键，该按键的标题为"命令提示符"。点击这个按键会导致GUI试图用以下命令行参数调用CreateProcess()： c:\Program Files\Altiris\AClient\cmd.exe 客户端GUI还有一个ListView控件，可用于覆盖进程内存。本地攻击者可以使用ListView覆盖静态指针，修改命令行参数，导致以SYSTEM级权限执行cmd.exe shell。 部署服务器代理使用LoadLibrary() API函数并传送数据段中字符串的静态地址。如果本地用户使用ListView覆盖数据段字符串，就可以导致代理加载恶意的dll文件。 aclient.exe代码： 004AA890 PUSH ESI 004AA891 PUSH EDI 004AA892 PUSH AClient.005858A0 ; ASCII kernel32.dll ; 004AA897 XOR EDI,EDI 004AA899 CALL DWORD PTR DS: KERNEL32.LoadLibrar ; 然后恶意的dll文件就会生成以LocalSystem权限运行的命令shell。