【CVE-2022-24644】ZZ Inc. KeyMouse Windows 安全漏洞

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/gerr-re/cve-2022-24644

漏洞介绍

ZZ Inc. KeyMouse Windows是ZZ Inc.的一个键盘鼠标。

ZZ Inc. KeyMouse Windows 3.08 及更早版本存在安全漏洞,该漏洞源于在未经身份验证的更新期间受到远程代码执行漏洞的影响。

CVE-2022-24644

ZZ Inc. KeyMouse 3.08 (Windows) 未授权更新远程代码执行漏洞

用法: python3 cve-2022-24644_poc.py

gerr.re 报告中的详细信息 。

重现步骤

  1. 安装 KeyMouse Windows 3.08
  2. 将欺骗设置 www.keymouse.com 为我们的攻击者 ip;
    • 对于概念验证,最容易 c:\windows\system32\drivers\etc\hosts 在目标上进行编辑。
      • 攻击者可能会使用:
        • 配置不当的路由器/交换机/DNS
        • DNS缓存中毒
        • ARP缓存中毒
  3. proof.c 在攻击者上 编译,例如使用 i686-w64-mingw32-gcc proof.c -o proof.exe

#include <windows.h>
int main(int argc, char const *argv[]){
    WinExec("cmd.exe",1);
    return TRUE;
}

  1. 在攻击者身上运行概念验证脚本;
  2. 在目标上启动 KeyMouse 并触发更新:
    • 应用程序菜单:帮助 -> 检查更新
    • 任务栏:任务栏图标上的鼠标右键 -> 检查更新(或安装更新)
  3. 继续更新。

因此, proof.exe 以高完整性在管理员用户的上下文中执行。

标签:工具分享, 漏洞分享, POC脚本