Windows内核EoP漏洞（CVE-2024-21345）获取PoC利用代码

安全研究人员 Gabe Kirkpatrick 发布了CVE-2024-21345的概念验证 (PoC) 漏洞利用代码，这是一个高严重性的Windows内核特权提升漏洞。此漏洞允许经过身份验证的攻击者将权限升级到系统级别，从而授予他们对受影响系统的完全控制权。

CVE-2024-21345 是一个复杂的漏洞，涉及对 Windows 内核内存处理操作的操纵。它专门利用了NtQueryInformationThread系统调用中的双重获取问题 ，系统的一部分，负责处理检索有关线程执行环境的信息的请求。该漏洞的工作原理如下：

• 触发缺陷：经过身份验证的用户可以运行特制的应用程序，该应用程序在用户模式和内核模式之间的数据复制操作期间操纵内核如何获取长度字段。

• 利用双重获取：该缺陷是由于内核从用户提供的地址执行长度字段的双重获取而产生的。通常，应该获取一次并进行验证。但是，通过更改这些提取之间提取的数据，可以绕过验证。

• 绕过安全检查：利用ProbeForWrite函数检查是否可以写入内存地址，该漏洞通过将数据大小设置为零（该函数不会验证零）来规避安全措施，从而允许写入任意内核地址。

• 执行和控制：最后一步涉及将受控数据写入该地址，其中可以包括线程的线程环境块（TEB），从而允许攻击者操纵内核内存并可能获得系统权限。

利用此漏洞可以让攻击者逃离封闭的执行环境并在内核级别控制系统。这种特权提升尤其令人担忧，因为它为攻击者提供了最高级别的访问权限，类似于系统自身操作的访问权限。

CVE-2024-21345的严重性评分为8.8，已修复，但随后在GitHub上发布了概念验证 (PoC) 漏洞利用代码研究人员加布·柯克帕特里克（Gabe Kirkpatrick）将注意力重新集中在其潜在风险上。

Microsoft 在 2024 年 2 月补丁星期二更新中解决了此缺陷。立即安装这些更新是目前唯一有效的缓解措施。

公开可用的漏洞会带来直接且更高的风险。组织和个人必须极其紧急地对待这种情况，以保护其 Windows 环境。

项目地址：

https://github.com/exploits-forsale/CVE-2024-21345