关键信息 EDB-ID: 38474 CVE: 2015-2553 Author: GOOGLE SECURITY RESEARCH Type: LOCAL Platform: WINDOWS Date: 2015-10-15 Vulnerable App: Microsoft Windows 10 (build 10240) 漏洞概述 平台: Windows 10 (build 10240), 早于该版本的系统不支持此功能。 类型: 安全特性绕过 总结: Windows 10引入的缓解措施未能有效阻止低完整性/沙盒进程创建或修改某些符号链接的行为,从而允许绕过NTFS挂载重解析点创建的限制。 描述 Windows 10为阻止低完整性/沙盒进程创建或修改某些符号链接行为添加了新的缓解措施,以减少此类行为被滥用的风险。 早期版本中,NTFS挂载重解析点在沙盒进程中被直接阻止,但在build 10240中,检查被移动到内核的IopXXXControlFile,并进行了轻微修改,允许沙盒进程创建某些挂载点。 检查条件主要是检查挂载点目标是否为目录以及当前进程是否具有写权限。 沙盒进程可以通过伪造设备映射绕过检查,创建任意挂载点。 概念验证(Proof of Concept) 提供了概念验证代码,用于演示绕过方法。 通过使用过程设备映射,沙盒进程可以创建指向任意目录的挂载点。 可在低完整性级别执行,证明了该漏洞的存在。 链接 源码链接: https://code.google.com/p/google-security-research/issues/detail?id=486 PoC代码: https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/38474.zip