【PoC】Windows 特权提升漏洞CVE-2024-30051

安全研究人员公布了Windows 零日漏洞（编号为 CVE-2024-30051）的技术细节和概念验证 (PoC) 代码，该漏洞可能允许攻击者将其权限提升至系统级别。此严重漏洞在 CVSS 评分中被评为 7.8，是由桌面窗口管理器 (DWM) 核心库中的堆缓冲区溢出引起的。利用此漏洞可能导致以系统级权限执行任意代码，从而为潜在的恶意软件攻击打开大门，包括部署 QakBot 等有效载荷。

该漏洞源于 dwmcore.dll 库中的大小计算错误，该库负责渲染 Windows 的图形用户界面元素，包括 3D 过渡和玻璃窗框。卡巴斯基研究人员发现，该漏洞存在于 DWM 库的 CCommandBuffer::Initialize 方法中。本地用户可以利用此错误触发堆溢出，从而以 SYSTEM 完整性执行任意代码。

攻击者可以制作一个 DLL 并将其加载到 DWM 进程中，该进程将以提升的权限运行，从而使攻击者能够控制系统。CVE-2024-30051 漏洞影响各种 Windows 版本，概念验证 (PoC) 漏洞代码已在GitHub上公开，这增加了修补的紧迫性。

CVE-2024-30051 的漏洞利用涉及一系列步骤，攻击者在 DWM 进程中执行堆喷射来操纵内存。通过释放喷射堆的特定部分，在 dwmcore.dll 中触发堆溢出，从而执行攻击者的代码。一旦漏洞利用成功，攻击者就可以启动命令提示符或以完全 SYSTEM 权限加载恶意代码。

在实际攻击中，此漏洞已被利用来传播恶意软件，例如 QakBot，该恶意软件通常用于窃取凭据和分发勒索软件。提升权限的能力使此漏洞特别危险，因为它允许攻击者绕过许多安全控制并完全控制受感染的系统。

微软已在 2024 年 5 月补丁星期二更新中修补了CVE-2024-30051。强烈建议用户和系统管理员立即应用此补丁以防止漏洞利用。鉴于 PoC 漏洞代码已公开可用，未修补的系统面临更高的攻击风险。

除了应用补丁之外，组织还应监控其网络是否存在任何可疑活动。应更新防病毒工具和端点检测解决方案，以识别与此漏洞相关的入侵指标。

PoC：https://github.com/fortra/CVE-2024-30051

原文始发于微信公众号（独眼情报）：【PoC】Windows 特权提升漏洞CVE-2024-30051