安全研究员 Pwndorei 发布了针对 Windows Hyper-V 中已修补的零日漏洞(编号为 CVE-2024-38080)的详细分析以及概念验证 (PoC) 漏洞代码。这一严重漏洞已被广泛利用,攻击者可利用该漏洞将权限提升至系统级别,这对依赖 Microsoft 虚拟化技术的组织而言是一个严重风险。
CVE-2024-38080 (CVSS 7.8) 是一个特权提升 (EoP) 漏洞,影响 Windows Hyper-V,这是 Microsoft 的虚拟机管理程序,用于实现虚拟化计算环境。该漏洞是在 Hyper-V 的 VidExoBrokerIoctlReceive 函数中发现的,源于一个整数溢出,可被恶意行为者触发。通过利用此漏洞,攻击者可以操纵系统的内存并以 SYSTEM 级权限执行代码,从而有效地完全控制受感染的系统。
尽管微软已经承认了该漏洞并确认正在积极利用该漏洞,但它对具体细节守口如瓶,例如最初是谁发现了该漏洞,或者该漏洞造成的损害程度。尽管如此,CISA 已将 CVE-2024-38080 添加到其已知被利用漏洞目录中,表明了解决该问题的严重性和紧迫性。
Pwndorei 的分析表明,该漏洞源自 VidExoBrokerIoctlReceive 函数,该函数负责处理 Hyper-V 中的 Ioctl 请求。该漏洞是由于 IRP(I/O 请求包)结构中的数据验证不足而产生的。具体来说,攻击者可以通过 VidExoBrokerIoctlSend 函数发送恶意 IRP 请求来利用此漏洞。这会导致内核的非分页池中的整数溢出,进而导致缓冲区溢出并导致 BSOD(蓝屏死机)。
__int64 __fastcall VidExoBrokerIoctlReceive(
__int64 VidExoObj,
struct _LIST_ENTRY *a2,
BrokerIrpDataHeader *Dest,
unsigned int OutputLen,
unsigned int *a5)
{
...
ReceivedIRP = (_IRP *)VidExoBrokerpFindAndDequeueSendIrpForFileObject(VidExoObj, a2);//[1] Sent by VidExoBrokerIoctlSend
v9 = ReceivedIRP;
if ( !ReceivedIRP )
{
...
}
在 PoC 中,漏洞通过调用受影响的函数触发,导致系统崩溃。然而,更令人担忧的是,此漏洞可能被用于系统权限提升,从而让攻击者控制整个系统。
CVE-2024-38080 的 PoC 漏洞利用已在GitHub上公开,它演示了攻击者如何调用这些函数来利用溢出并使系统崩溃。此漏洞利用的可用性提高了依赖 Hyper-V 处理关键工作负载的组织的风险,因为 PoC 为攻击者复制漏洞利用提供了路线图。
微软已确认该漏洞,并在 2024 年 7 月补丁星期二更新中发布了补丁。
https://hackyboiz.github.io/2024/09/01/pwndorei/hyperv-1dayclass_CVE-2024-38080/
https://github.com/pwndorei/CVE-2024-38080
https://securityonline.info/poc-exploit-released-for-windows-hyper-v-zero-day-vulnerability-cve-2024-38080/
原文始发于微信公众号(独眼情报):【PoC】Windows Hyper-V 0day CVE-2024-38080 poc
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论