Microsoft vcpkg OpenSSL 漏洞使本地权限提升成为可能

执行摘要

在微软维护的 OpenSSL 库的 vcpkg 端口中存在一个高严重性的本地权限提升漏洞。该漏洞被跟踪为 CVE-2026-34054，并且由 Zero Day Initiative (ZDI) 赋予了 CVSS v3.1 基础得分 7.8，这个缺陷源于一个不受控制的搜索路径元素。一个具有低权限代码执行能力的本地攻击者可以利用这个条件来加载一个恶意库，并在目标机器上获得提升的 SYSTEM 权限。这个漏洞特别影响使用受影响的 vcpkg OpenSSL 包构建的应用程序。

技术分析

根据 ZDI 咨询 ZDI-26-281，这个漏洞是微软 vcpkg 分发的 OpenSSL 中的一个经典的 DLL 搜索顺序劫持或种植缺陷。vcpkg 是微软的一个 C/C++ 库管理器，用于在 Windows 上获取和构建开源库。这个缺陷存在是因为通过 vcpkg 构建的 OpenSSL 包在加载依赖的动态链接库 (DLL) 时没有安全地指定完整路径。相反，它依赖于标准的 Windows 库搜索顺序。

这种不安全的加载行为允许本地攻击者在一个在应用程序 DLL 搜索路径中可写且在合法系统目录之前被检查的目录中放置一个预期名称的恶意 DLL。当一个链接到这个 vcpkg OpenSSL 包的易受攻击的应用程序运行时，它将加载攻击者的 DLL，在应用程序的上下文中执行任意代码。如果应用程序以提升的权限运行，这对于系统服务或安装程序进程来说是常见的，攻击者就实现了权限提升。ZDI 指出，利用这个漏洞需要攻击者首先获得在目标上执行低权限代码的能力，使这成为一个次要的攻击向量，跟随初始妥协。

这个漏洞特定于微软的 vcpkg 提供的包装和构建配置，而不是上游的 OpenSSL 源代码本身。在公共咨询中没有命名确切的 DLL，这是一种常见的做法，以防止在补丁广泛应用之前立即武器化。

入侵指标

目前没有识别出任何入侵指标。检测应该集中在行为监控上，特别是对于从意外目录加载可疑 DLL 的事件，特别是与软件开发工具或已知使用 vcpkg 构建的应用程序相关的进程。

战术、技术与程序

利用这个漏洞的攻击者可能会遵循以下步骤，与 MITRE ATT&CK 技术一致：

1. 初始访问和执行： 通过其他方式（例如，网络钓鱼，利用另一个漏洞）在目标系统上获得用户级权限的立足点。这对应于 T1204（用户执行）或 T1068（为权限提升而利用）等技术。
2. 权限提升准备： 识别系统上使用受影响的 vcpkg OpenSSL 库的易受攻击的应用程序。
3. 劫持执行流： 在应用程序的 DLL 搜索路径中的可写目录中放置一个恶意 DLL，该目录在应用程序检查合法系统目录之前（例如，应用程序自己的目录）。这是技术 T1574.001（DLL 搜索顺序劫持）。
4. 权限提升执行： 触发易受攻击的应用程序的执行，导致它加载恶意 DLL。如果应用程序以更高的权限级别运行（例如，作为服务或通过管理员用户），攻击者的代码将以这些提升的权限运行（T1068）。

威胁行为者背景

在 ZDI 发布时，没有证据表明在野外有活跃的利用。这个漏洞是由一个研究人员通过 ZDI 程序负责任地披露的。这种本地权限提升错误在目标攻击中非常有价值，并且通常与远程代码执行缺陷一起链式使用，以从外部网络位置完全破坏系统。网络犯罪分子和高级持续性威胁 (APT) 组织经常将这些类型的缺陷纳入他们的工具包中。

缓解措施与建议

主要的缓解措施是应用 vcpkg 包存储库的更新。使用 vcpkg 的开发人员和系统管理员应该更新他们的本地 vcpkg 安装，并重建任何依赖 OpenSSL 端口的应用程序。作为 vcpkg 的维护者，微软负责提供修复的包。

组织还应该实施一般的最佳安全实践，以减少攻击面：

• 最小权限原则： 确保应用程序和用户帐户以最少的必要权限运行，限制成功提升的影响。
• 应用程序白名单： 使用 Windows Defender 应用程序控制等工具限制可以执行的二进制文件，可能阻止未知 DLL。
• 路径审计： 监控并阻止来自用户可写目录的可疑 DLL 加载，特别是由特权进程执行的。
• 攻击面减少： 这个漏洞需要本地访问；因此，强大的端点保护、网络分割和及时修补初始访问向量是防止攻击者达到利用这个缺陷的位置的关键。