Microsoft Management Console (MMC)是微软管理控制台，是一个专门用于管理的控制台。其设计主要用于为Windows管理员提供一个统一的、规范的管理接口和操作平台。

近期，Check Point Research研究人员在控制台中发现了多个允许攻击者传输恶意payload的漏洞。漏洞CVE编号为CVE-2019-0948，微软已于6月11日发布的补丁中进行了修复。

漏洞描述

错误配置的WebView导致的多个XSS漏洞

MMC有一个集成的Snap-In组件中含有ActiveX控制、Link to Web Address等多种机制。

1. 攻击者选择Link to Web Address snap-in后，就科研插入一个url到该服务器中，服务器中含有一个含有恶意payload的html页。

   受害者打开恶意.msc文件后，就会打开一个web-view，恶意payload就会执行。
   研究人员成功地插入了含有恶意payload的恶意URL链接，该恶意payload可以重定向到SMB服务器可以获取用户的NTLM哈希值。
   还可以通过前面提到的web-view来在受害者主机上执行VBS脚本。

2. 攻击者选择ActiveX Control snap-in（所有ActiveX controls都受到该漏洞影响）并保存到文件.msc中。在文件.msc的StringsTables部分，攻击者可以修改第三个字符串的值为攻击者控制的恶意URL，其中含有一个含有恶意payload的html页面。研究人员成功地插入含有恶意payload的恶意URL，恶意payload可以重定向到SMB服务器，并获取用户NTLM哈希值。
   还可能通过前面提到的web-view在受害者机器上执行VBS脚本。
   受害者打开恶意.msc文件后，就会在MMC窗口中打开一个web-view并执行恶意payload。

错误配置的XML parser产生的XXE漏洞

受害者打开MMC并选择event viewer snap-in，点击Action，然后点击Import Custom View。一旦含有XXE payload的恶意XML被选择，任何从受害者主机处发送的文件都会发给攻击者。这是由于MMC定制视图功能中定义的错误配置的XML parser造成的。

PoC

Link to Web Address snap-in Cross-Site Scripting (XSS):

受害者选择Link to Web Address snap in:

然后攻击者在path处输入含有恶意payload的服务器地址：

攻击者保存.msc文件并发送给受害者：

恶意.msc文件含有到攻击者服务器的路径：

受害者打开恶意.msc文件，vbs代码就会执行：

ActiveX Control snap-ins

以Adobe Acrobat DC Browser example为例:

攻击者添加新的 snap-in:

击者选择ActiveX Control snap-in:

选择ActiveX Control机制，以Adobe Acrobat DC Browser为例：

攻击者保存.msc文件并发送给受害者：

含有到攻击者服务器的路径的.msc文件：

受害者打开恶意.msc文件后，VBS代码就会执行：

错误配置的XML Parser导致的XXE漏洞：

添加新的snap-in:

攻击者选择event viewer snap-in:

受害者选择Action，然后点击Import Custom View选项：

受害者选择攻击者发送的恶意XML:

含有XXE payload的恶意XML会读取c:\windows\win.ini文件内容，并通过HTTP/GET请求发送给远程服务器：

反过来调用xml.dtd:

期望的文件内容会从客户端console应用发送到远程服务器：

转自先知社区