Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

admin 2024年10月15日09:57:34评论16 views字数 584阅读1分56秒阅读模式

今年6月份爆出来的Windows内核提权漏洞被伊朗黑客组织APT34利用,分析下利用过程。

Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

常规的利用过程如上图,打点获得WebShell后进行内网穿透,然后用公开的CVE-2024-30088的POC进行提权:

(地址:https://github.com/tykawaii98/CVE-2024-30088)

Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

提权后将恶意的psgfilter.dll保存至C:WindowsSystem32目录,随后修改 Windows 注册表来注册恶意的Password Filter DLL,当用户更改Exchange密码窃取Exchange密码,工作流程如图:

Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

黑客如何通过合法邮件流量窃取数据的呢?主要是利用StealHook这款软件,以下是关键函数截图:

1. 从文件 C:ProgramDataWindowsUpdateServiceUpdateDiredf 中调用 GetUserPassFromData 函数来获取用户名和密码

Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

2. 从C:ProgramDataWindowsUpdateServiceUpdateDiredf文件中调用 GetSendData 函数获取发送电子邮件所需的配置信息:

Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

3. 发送电子邮件

Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

在你的邮服上用你的账户发邮件外带信息,不戳。

原文始发于微信公众号(KeepHack1ng):Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月15日09:57:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用https://cn-sec.com/archives/3269123.html

发表评论

匿名网友 填写信息