CVE-2019-1388（UAC提权）

CVE-2019-1388（UAC提权）

---

免责声明：

此文章仅用于学习研究使用，请勿用于违法犯罪，请遵守《网络安全法》等相关法律法规。

---

漏洞概述：

该漏洞位于Windows的UAC（User Account Control，用户帐户控制）机制中。默认情况下，Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的，该可执行文件以NT AUTHORITY\SYSTEM权限运行，完整性级别为System。因为用户可以与该UI交互，因此对UI来说紧限制是必须的。否则，低权限的用户可能可以通过UI操作的循环路由以SYSTEM权限执行操作。即使隔离状态的看似无害的UI特征都可能会成为引发任意控制的动作链的第一步。事实上，UAC会话中含有尽可能少的点击操作选项。
事实上，UAC会话中含有尽可能少的点击操作选项，利用该漏洞很容易就可以提升权限到SYSTEM。

影响范围：

SERVER

    Windows 2008r2    7601    ** link OPENED AS SYSTEM **
    Windows 2012r2    9600    ** link OPENED AS SYSTEM **
    Windows 2016      14393   ** link OPENED AS SYSTEM **
    Windows 2019      17763   link NOT opened

WORKSTATION

    Windows 7 SP1      7601    ** link OPENED AS SYSTEM **
    Windows 8          9200    ** link OPENED AS SYSTEM **
    Windows 8.1        9600    ** link OPENED AS SYSTEM **
    Windows 10 1511    10240   ** link OPENED AS SYSTEM **
    Windows 10 1607    14393   ** link OPENED AS SYSTEM **
    Windows 10 1703    15063   link NOT opened
    Windows 10 1709    16299   link NOT opened

环境搭建：

Windows10
https://github.com/jas502n/CVE-2019-1388 下载相应文件

复现：

1.我们创建一个名为test的普通用户，没有任何权限，这时我们切换到test用户

2.我们将下载的文件拷贝到"test"，并打开“HHUPD.EXE文件”

3.这时会弹出弹框，我们显示详细信息，点击证书信息，然后再点击颁发者链接

4.这时网页已经在桌面打开了，我们关闭弹框，我们直接使用“Ctrl+S”保存，会弹出报错，不用理会关掉，在文件名输入“C:\Windows\System32*.*”回车

5.我们在System文件夹内找到“CMD”，右击鼠标打开，输入“whoami”，发现已将是system权限了

6.这时我们已经是system权限了，然后把这个用户删除，复现完毕

修复建议：

安装相应补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1388