从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-10526 2. 漏洞类型:本地权限提升(Local Privilege Escalation) 3. 受影响的软件:Windows Velociraptor Service 4. 发布日期:2024年11月3日 5. 问题描述: - Velociraptor Windows MSI安装程序为BUILTIN\Users组赋予了WRITE_DACL权限。 - 这使得非管理员本地用户可以授予自己对Velociraptor文件的完全控制权限。 - 通过修改Velociraptor的文件,本地用户可以绕过二进制代码并以SYSTEM用户身份执行任意代码,或完全替换Velociraptor二进制文件。 6. 影响: - CWE-552:文件或目录可被外部实体访问 - CWE-732:关键资源的权限分配不正确 7. 产品状态: - 在0.73.3之前的版本中,Velociraptor的MSI安装程序为BUILTIN\Users组赋予了WRITE_DACL权限。 - 0.73.3版本修复了这个问题。 8. 解决方案: - 对于新安装,请使用更新后的MSI。 - 如果不希望立即升级客户端,请安排在最早的时间运行icacls.exe命令序列。 9. 工作绕过: - 在Velociraptor中启动对所有Windows资产的搜索,选择Windows.System.PowerShell插件,并在命令参数中粘贴以下内容: - 这个搜索将更新Velociraptor目录的ACL,移除BUILTIN\Users的所有权限。 10. 感谢: - 感谢Jean-Baptiste Mesnard-Sense从SYNACKTIV识别并报告了这个问题。 这些信息提供了关于Velociraptor服务中本地权限提升漏洞的详细描述和解决方案。