【CVE-2022-28944】多款EMCO Software产品安全漏洞

EMCO Software EMCO MSI Package Builder for Windows等都是冰岛EMCO Software公司的产品。EMCO Software EMCO MSI Package Builder for Windows是一种用于创建 Windows Installer 程序包的软件工具。EMCO Software EMCO Remote Shutdown for Windows是一种用于网络的 PC 电源管理工具。EMCO Software EMCO Remote Installer for Windows是一种适用于 Windows 的软件分发工具。

EMCO Software 多款产品存在安全漏洞，远程攻击者利用该漏洞可在受影响的 EMCO 软件安装上执行任意代码。以下产品和版本受到影响：EMCO MSI Package Builder for Windows 9.1.4 (uses HTTP)、EMCO Remote Installer for Windows 6.0.13、EMCO Ping Monitor for Windows 8.0.18、EMCO Remote Shutdown for Windows 7.2.2、EMCO WakeOnLan Free 2.0.8、EMCO WakeOnLan Professional 2.0.8、EMCO Network Inventory for Windows 5.8.22 (different configuration)、EMCO Network Software Scanner for Windows 2.0.8、EMCO UnLock IT for Windows 6.1.1 (uses HTTP)。

EMCO 软件多产品未经身份验证更新远程代码执行漏洞。

用法： python3 cve-2022-28944_poc.py

gerr.re 报告中的详细信息 。

重现步骤

1. 安装受影响的 EMCO 软件产品；
2. 将欺骗设置 storage.emcosoftware.com 为我们的攻击者 ip；
   • 对于目标的概念验证编辑 c:\windows\system32\drivers\etc\hosts 。
     • 注意：攻击者可能会使用：
       • 配置不当的路由器/交换机/DNS，
       • DNS 欺骗/缓存中毒，
       • ARP 欺骗/缓存中毒。
3. proof.c 在攻击者上 编译，例如使用 i686-w64-mingw32-gcc proof.c -o proof.exe ；

#include <windows.h>
int main(int argc, char const *argv[]){
    WinExec("cmd.exe",1);
    return TRUE;
}

4. 生成自签名证书；
   • 例如使用 openssl req -new -x509 -keyout storage.emcosoftware.com.pem -out storage.emcosoftware.com.pem -days 365 -nodes -subj "/CN=storage.emcosoftware.com"
5. 运行概念验证脚本；
6. 启动受影响的 EMCO 软件产品，或者
   • 等待一天自动触发更新，或者
   • 通过应用程序菜单手动触发更新；
7. 在更新向导中接受更新。
   • 攻击者将使用有说服力的更新描述来说服目标接受更新。