Windows Ancillary Function Driver for WinSock 权限提升漏洞安全风险通告

admin

138658
文章

114
评论

2023年3月10日10:14:01评论70 views字数 2044阅读6分48秒阅读模式

Windows Ancillary Function Driver for WinSock 权限提升漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

安全通告

Ancillary Function Driver for WinSock，是 Windows 系统网络部分的核心工具。Windows 中所有 socket 文件的操作，如创建、销毁、读写等，都是通过该驱动来完成的。

近日，奇安信CERT监测到 Windows Ancillary Function Driver for WinSock 权限提升漏洞EXP已在互联网公开。Windows Ancillary Function Driver for WinSock 中存在权限提升漏洞，经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。此漏洞仅影响Windows 11和Windows Server 2022。目前，奇安信CERT已复现此EXP。经验证，此EXP中的利用方式仅适用于Windows 11 22H2，此EXP稳定有效。鉴于此漏洞影响较大，建议客户尽快做好自查及防护。

漏洞名称	Windows Ancillary Function Driver for WinSock 权限提升漏洞
公开时间	2023-01-10	更新时间	2023-03-09
CVE编号	CVE-2023-21768	其他编号	QVD-2023-1888
威胁类型	权限提升	技术类型	任意指针解引用
厂商	Microsoft	产品	Windows
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已公开	已公开	未知	未公开
漏洞描述	Windows Ancillary Function Driver for WinSock 中存在权限提升漏洞，经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。此漏洞仅影响 Windows 11 和 Windows Server 2022。
影响版本	Windows 11 Version 22H2 for x64-based Systems Windows 11 Version 22H2 for ARM64-based Systems Windows 11 version 21H2 for ARM64-based Systems Windows 11 version 21H2 for x64-based Systems Windows Server 2022 (Server Core installation) Windows Server 2022

目前，奇安信CERT已在Windows 11 22H2上成功复现此漏洞，截图如下：

Windows Ancillary Function Driver for WinSock 权限提升漏洞安全风险通告

威胁评估

漏洞名称	Windows Ancillary Function Driver for WinSock权限提升漏洞
CVE编号	CVE-2023-21768	其他编号		QVD-2023-1888
CVSS 3.1评级	高危	CVSS 3.1分数		7.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	本地		低
	所需权限（PR）		用户交互（UI）
	低权限		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	经过身份认证的本地攻击者可利用此漏洞提升至SYSTEM 权限。此漏洞仅影响 Windows 11 和 Windows Server 2022。

处置建议

微软于2023年1月补丁日修复了此漏洞，使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞，也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、进入“Windows更新”

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的安全补丁并安装：

https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2023-21768

参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21768

时间线

2023年3月9日，奇安信 CERT发布安全风险通告。

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号（奇安信 CERT）：Windows Ancillary Function Driver for WinSock 权限提升漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Windows Ancillary Function Driver for WinSock 权限提升漏洞安全风险通告

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

Gladinet漏洞CVE-2025-30406遭在野利用

安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞

Microsoft Edge信息泄露漏洞(CVE-2025-29834)

【已复现】Gladinet CentreStack & Triofox 远程RCE漏洞（CVE-2025-30406）

【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)

发表评论

在线咨询

微信