Microsoft修复了一个存在于所有当前Windows版本的Group Policy功能中的安全漏洞，攻击者可利用该漏洞完全控制计算机。该漏洞影响自Windows Server 2008以来的所有Windows版本。

Windows管理员借助Group Policy功能可以远程管理某个网络上的所有Windows设备。该功能允许管理员为他们的组织创建一个集中的全局配置策略，推送至网络上的所有Windows设备。

管理员可通过这些策略控制计算机的使用方式，例如禁用应用程序中的设置，禁止应用程序运行，启用和禁用Windows特性，甚至在每一台Windows计算机上部署同样的壁纸。

Windows设备使用‘Group Policy Client’服务或‘gpsvc’检查新的组策略，该服务通常连接域控制器以检查新的组策略更新。

如果找到任何组策略后，该服务将组策略应用于本地系统，以便按需要正确执行。

为了正确应用这些新的策略，gpsvc服务被配置成以‘SYSTEM’权限运行，这赋予了该服务与管理员账户相同的权限。

该漏洞编号为CVE-2020-1317，本地攻击者可利用该漏洞以管理员权限运行任意命令。

该漏洞是由网络安全公司CyberArk发现的，该公司发现一个对用于组策略更新的文件进行符号链接攻击以获得更高的权限的攻击。

CyberArk在报告中指出，“该漏洞允许域环境中的非特权用户执行文件系统攻击，这反过来将允许恶意用户避开反恶意软件解决方案，绕过安全加固，并可能导致组织网络的严重损坏。攻击者可利用该漏洞影响任何Windows计算机（2008年或更高版本），提升其在域环境中的权限。”

在执行适用于组织中所有设备的组策略更新时，Windows会将新的策略写入计算机的%LocalAppData%文件夹的子文件夹中，任何用户，包括一般用户，对该文件夹都拥有权限。

例如，如果组织级的策略与打印机相关，它将会被保存在：

C:\Users\[user]\AppData\Local\Microsoft\GroupPolicy\History{szGPOName}\USER-SID\Preferences\Printers\Printers.xml

已知某个文件被某个拥有SYSTEM权限的进程使用，在获取对该文件的完全访问权限后，CyberArk发现它们可以在该文件和执行DLL的RPC命令之间创建符号链接。

由于Group Policy Client服务以SYSTEM权限运行，当他们尝试在该文件中应用策略时，该服务将以SYSTEM权限执行攻击者想要的任意DLL。

要触发该漏洞，本地攻击者可以执行gpupdate.exe程序，该程序执行手动组策略同步。随后，该命令会触发策略更新，运行攻击者的恶意DLL。

根据CyberArk提供的信息，利用该漏洞的完整步骤如下：

1)    列出你在C：\User\user\AppData\Local\Microsoft\GroupPolicy\History中的组策略GUID

2)    如有多个GUID，检查最近更新了哪个目录

3)    进入该目录并进入子目录，即用户SID。

4)    查看最新修改的目录；这将因环境不同而有所不同。在我的（CyberArk）例子中，是打印机目录。

5)    删除打印机目录中的文件Printers.xml。

6)    创建一个NTFS挂载点到\RPC控件，和一个指向C：\Windows\System32\whatever.dll的，含有Printers.xml的Object Manager符号链接

7)    打开终端并运行gpupdate。

在没有权限的一般用户仍然能够在任意位置创建文件的情况下，攻击者最终能够利用该漏洞提升权限。

“攻击者可以在任意位置上创建任意文件，也可以利用该漏洞删除和修改系统保护文件。基于GPO对象（打印机、设备、驱动器)的行为发生了微小的变化。所有这些最终都可导致权限提升。”CyberArk解释说。

由于受影响的设备如果没有十亿，也有数百万，这是一个严重的安全缺陷，所有的Windows管理员应该尽快修复。

 CyberArk于2019年6月17日向Microsoft披露了该漏洞，Microsoft在2020年6月周二补丁日的安全更新中修复了这一漏洞。

本文源自Bleeping Computer；转载请注明出处。