一个关键的UAF(使用后释放)漏洞,被标识为 CVE-2024-38193,已在 Windows 驱动程序 afd.sys 中被发现。
该漏洞的 CVSS 评分为 7.8,对 Windows 系统构成重大威胁,可能允许攻击者提升权限并执行任意代码。
安全研究员 Luca Ginex 在 Exodus Intelligence 公司对该漏洞进行了深入分析,提供了关于其利用过程的宝贵见解。
Gen Digital 公司表示,该漏洞允许攻击者绕过正常的网络安全限制,访问通常对大多数用户和管理员不可访问的敏感系统区域,这种攻击既复杂又狡猾,在黑市上可能价值数十万美元。
研究人员公布了他们的追踪和归因结果,揭示Lazarus组织一直在利用该漏洞安装名为 FudModule 的恶意软件。
-
这种恶意软件非常复杂,最初于 2022 年由 AhnLab 和 ESET 的研究人员检测发现。
CVE-2024-38193 位于 Windows 套接字的注册 I/O(RIO)扩展中,这是一个旨在通过减少系统调用优化套接字编程的功能。
漏洞源于 afd.sys 驱动程序中 AfdRioGetAndCacheBuffer()和 AfdRioDereferenceBuffer()函数之间的竞争条件。
正如 Ginex 解释的那样:“这些函数之间的竞争条件允许恶意用户强制 AfdRioGetAndCacheBuffer()函数对一个已被 AfdRioDereferenceBuffer()函数释放的注册缓冲区结构执行操作。”
CVE-2024-38193 的利用涉及一个多阶段过程,如 Ginex 所述:
-
堆喷:攻击者向非分页池喷射伪造的 RIOBuffer 结构并创建漏洞,为触发漏洞铺平道路 -
漏洞触发:通过创建两个并发线程,攻击者在缓冲区仍在使用时将其注销,导致UAF(使用后释放) -
权限提升:攻击者利用释放的 RIOBuffer 结构来控制缓存内容并提升权限
该漏洞利用此任意写入能力覆盖 _SEP_TOKEN_PRIVILEGES 结构,赋予 NT AUTHORITYSYSTEM 权限。
Nephster,一位独立安全研究员已在 GitHub 上发布了 CVE-2024-38193 漏洞的 PoC(概念验证)代码,进一步加剧了该漏洞的潜在威胁。
PoC 展示了攻击者如何稳定且可靠地在未打补丁的系统上实现提权。
PoC代码:
https://github.com/killvxk/CVE-2024-38193-Nephster
点击文末下方“阅读原文”可直接跳转。
以上内容由骨哥翻译并整理。
原文来自:https://securityonline.info/windows-zero-day-vulnerability-cve-2024-38193-exploited-in-the-wild-poc-published/
原文始发于微信公众号(骨哥说事):【 CVE-2024-38193 】Windows 0day漏洞已在野利用,PoC已发布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论