最近,PixiePoint Security 的安全研究员Sergey Kornienko发布了针对 Windows 内核中一个关键零日漏洞(编号为 CVE-2024-38106)的分析和概念验证 (PoC) 漏洞利用。此特权提升 (EoP) 漏洞已被广泛利用,促使安全专业人员和最终用户采取紧急行动。
CVE-2024-38106 (CVSS 7.0) 位于 Windows 操作系统的核心中,具体位于 ntoskrnl.exe 进程中,也称为 Windows NT 操作系统内核可执行文件。此内核是 Windows 的基本组件,充当硬件和软件之间的桥梁,对于众多 Windows 服务的高效运行至关重要。
该漏洞源于竞争条件,即结果取决于不可控事件的顺序或时间。在这种情况下,成功利用竞争条件的攻击者可以将其权限提升至系统级别,从而有效地完全控制目标机器。
Kornienko 对补丁进行了细致的分析,发现两个关键函数发生了重大变化:VslGetSetSecureContext() 和 NtSetInformationWorkerFactory()。这些修改对于解决底层竞争条件至关重要:
补丁分析:Windows 11,7 月 25 日与 8 月 14 日 | 图片:PixiePoint Security
-
VslGetSetSecureContext():该补丁为 VslpEnterIumSecureMode() 操作引入了适当的锁定机制,该操作与基于虚拟化的安全 (VBS) 安全内核相关联。此增强功能可确保以受控且安全的方式执行操作,从而防止出现竞争条件。
-
NtSetInformationWorkerFactory():此处的更改更为复杂,涉及添加与 NtShutdownWorkerFactory() 进程交互的标志检查。此检查可确保缓解对象构造和销毁之间的竞争条件,从而降低被利用的风险。
Kornienko分享了一个概念验证 (PoC) 漏洞,展示了攻击者如何利用 CVE-2024-38106 漏洞来提升权限,进一步说明了如果不修补该漏洞可能造成的影响。
一名名为 Citrine Sleet 的朝鲜威胁行为者积极利用了该零日漏洞。该组织利用该漏洞作为复杂的攻击链的一部分,攻击链始于将目标引导至攻击者控制的恶意域名 —voyagorclub[.]space。虽然引诱受害者进入该域名的具体方法尚未得到证实,但人们怀疑该组织使用了社会工程手段。
一旦目标访问该域,就会部署针对 CVE-2024-7971 的零日远程代码执行 (RCE) 漏洞,从而破坏沙盒中的 Chromium 渲染器进程。此初始漏洞允许攻击者下载并执行 shellcode,其中包括针对 CVE-2024-38106 的 Windows 沙盒逃逸漏洞。该漏洞使攻击者能够绕过沙盒并提升其权限,从而允许部署 FudModule rootkit。
FudModule rootkit 特别阴险,它采用直接内核对象操纵 (DKOM) 技术来篡改内核安全机制,同时从用户模式执行。它利用内核读/写原语在最基本的层面上操纵系统,使得检测和删除变得异常困难。
微软迅速做出反应,在 2024 年 8 月补丁星期二发布中发布了针对 CVE-2024-38106 的补丁。然而,在补丁发布之前,该漏洞已被广泛利用,这凸显了快速部署补丁和警惕威胁的必要性。
PoC见详细技术分析:
https://www.pixiepointsecurity.com/blog/nday-cve-2024-38106/
原文始发于微信公众号(独眼情报):【PoC】CVE-2024-38106(7):0day Windows 内核漏洞遭野外利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论