【安全资讯】Windows内核模式驱动特权提升漏洞CVE-2024-35250的PoC利用代码发布
概要:
近期,安全研究员Angelboy (@scwuaptx) 对CVE-2024-35250漏洞进行了深入分析,该漏洞使攻击者能够在Windows系统中获得SYSTEM权限。此漏洞影响Windows内核模式驱动,并在2024年Pwn2Own温哥华比赛中被广泛关注,因其严重性而引发了广泛讨论。主要内容:
CVE-2024-35250的CVSS评分为7.8,允许通过操控IOCTL_KS_PROPERTY请求实现特权提升。根据Microsoft的说明,成功利用此漏洞的攻击者可以完全控制受影响的系统。该漏洞存在于ks.sys驱动程序的属性请求处理过程中,具体而言,当提供KSPROPERTY_TYPE_UNSERIALIZESET标志时,攻击者可以发起一系列操作,最终导致任意IOCTL调用。Angelboy指出,“我们现在拥有一个原语,可以执行任意IOCTL_KS_PROPERTY操作”,这使得该漏洞成为特权提升攻击的主要目标。一旦实现任意调用,利用该漏洞变得相对简单,攻击者可以利用合法函数执行任意写入,从而替换进程令牌,获得SYSTEM级别的权限。
然而,成功利用该漏洞并非易事,攻击者需要绕过多个安全措施,如内核控制流保护(kCFG)、地址空间布局随机化(ASLR)和监督模式执行防护(SMEP)。DEVCORE团队通过研究发现,RtlSetAllBits函数是绕过这些保护的可行选项。尽管在受控环境中成功执行了该利用代码,但在Hyper-V上的Windows 11 23H2虚拟机中测试时却遭遇失败,原因在于Hyper-V默认不包含音频设备,这对于触发该漏洞是必需的。为此,Microsoft在2024年6月的补丁星期二更新中修复了这一关键漏洞,强烈建议组织和用户更新系统以降低风险。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享