Windows 内核模式驱动程序特权提升漏洞 (CVE-2024-35250) 的 PoC 漏洞利用版本发布

DEVCORE 研究团队的安全研究员 Angelboy (@scwuaptx) 经过详细分析发现，高危漏洞 CVE-2024-35250 具有重大威胁，可让攻击者获取 Windows 中的 SYSTEM 权限。该漏洞影响 Windows 内核模式驱动程序，在 Pwn2Own Vancouver 2024 竞赛期间被广泛利用，因其严重性而受到广泛关注。

CVE-2024-35250 的 CVSS 评分为 7.8，可通过操纵内核流 (ks.sys) 中的 IOCTL_KS_PROPERTY 请求来提升权限。正如微软所解释的那样，“成功利用此漏洞的攻击者可以获得 SYSTEM 权限”，从而有效地让他们完全控制受影响的系统。

该漏洞存在于 ks.sys 驱动程序中对属性请求的处理中。具体来说，当提供 KSPROPERTY_TYPE_UNSERIALIZESET 标志时，可以启动一系列操作，最终导致任意 IOCTL 调用。在此过程中，用户提供的缓冲区被复制到新分配的空间中，并在未经适当验证的情况下执行。Angelboy 指出，“我们现在有一个允许我们执行任意 IOCTL_KS_PROPERTY 操作的原语”，这使得该缺陷成为特权提升攻击的主要目标。

一旦实现任意调用，利用该漏洞就变得非常简单。攻击者可以利用合法函数执行任意写入，然后利用它来替换进程令牌，从而授予 SYSTEM 级权限。正如 Angelboy 指出的那样，“我们的目标很简单：从合法函数创建任意写入原语，然后可以使用该原语通过典型方法（例如用系统令牌替换当前进程令牌 或 滥用令牌权限）实现 EoP 。”

然而，利用漏洞并非没有挑战。要成功攻击，需要绕过多种安全措施，例如内核控制流保护 (kCFG)、地址空间布局随机化 (ASLR) 和监控模式执行保护 (SMEP)。Angelboy 解释说：“虽然会遇到 kCFG、kASLR 和 SMEP 等保护措施，但在中等 IL 下唯一需要处理的保护措施是 kCFG。”

经过深入研究，DEVCORE 团队发现 RtlSetAllBits 函数是绕过这些保护措施的可行选项。该函数是合法 Windows 内核的一部分，允许攻击者操纵位图结构，从而创建导致权限提升的写入原语。

在测试期间，漏洞利用在受控环境中成功执行。然而，研究人员在尝试在 Hyper-V 上的 Windows 11 23H2 虚拟机 (VM) 上运行漏洞利用时遇到了困难。正如 Angelboy 所回忆的那样，“结果失败了。它在打开设备阶段失败了。”问题源于 Hyper-V 默认不包含音频设备，而这是通过 KSPROPSETID_DrmAudioStream 属性触发漏洞所必需的。

根据 Angelboy 的分析，安全研究员 Varwara发布了概念验证 (PoC) 漏洞代码来展示 CVE-2024-35250 的影响。https://github.com/varwara/CVE-2024-35250

微软在其 2024 年 6 月补丁星期二更新中解决了这一严重缺陷，并提供了一个可防止利用该漏洞的补丁。

强烈建议组织和用户更新其系统以减轻与 CVE-2024-35250 相关的风险。此外，实施最佳实践（例如执行最小特权原则、保持软件更新以及监控系统异常行为）可以进一步防范此类漏洞。