【安全资讯】CVE-2024-38106: Windows内核零日漏洞被利用，PoC已发布

概要：

近日，PixiePoint Security的安全研究员Sergey Kornienko发布了一份关于Windows内核关键零日漏洞CVE-2024-38106的分析报告和概念验证（PoC）利用代码。该漏洞已在野外被利用，促使安全专业人员和终端用户采取紧急行动。

主要内容：

CVE-2024-38106是一个权限提升（EoP）漏洞，存在于Windows操作系统的核心组件ntoskrnl.exe中。该漏洞源于一个竞争条件，攻击者可以通过成功利用该漏洞将权限提升到SYSTEM级别，从而完全控制目标机器。Kornienko的分析揭示了补丁对两个关键函数VslGetSetSecureContext()和NtSetInformationWorkerFactory()的重大修改，这些修改对于解决底层竞争条件至关重要。

VslGetSetSecureContext()函数的补丁引入了适当的锁机制，以确保操作在受控和安全的环境中执行，从而防止竞争条件的发生。NtSetInformationWorkerFactory()函数的修改则更为复杂，涉及添加一个标志检查，以确保对象构造和销毁之间的竞争条件得到缓解，降低了被利用的风险。

该漏洞已被北朝鲜的威胁组织Citrine Sleet利用，作为一条复杂攻击链的一部分。攻击者通过引导目标访问其控制的恶意域名voyagorclub[.]space，利用CVE-2024-7971的远程代码执行（RCE）漏洞，初步攻破目标系统。随后，攻击者下载并执行了包含Windows沙箱逃逸漏洞CVE-2024-38106的shellcode，成功提升权限并部署FudModule rootkit。

FudModule rootkit采用直接内核对象操作（DKOM）技术篡改内核安全机制，并利用内核读/写原语操控系统，极难检测和移除。微软已在2024年8月的补丁星期二发布了针对CVE-2024-38106的补丁，但在补丁发布前，该漏洞已被广泛利用，强调了快速部署补丁和保持警惕的重要性。