Windows 文件资源管理器权限提升漏洞 （CVE-2024-38100）

                                                                                                          点击上方蓝字关注我们吧~

漏洞利用详情

该漏洞存在于Windows文件资源管理器进程中的**分布式组件对象模型（DCOM）**对象。

具体来说，ShellWindows DCOM对象（CLSID {9BA05972-F6A8-11CF-A442-00A0C90A8F39}）被配置为在与登录用户相同的安全上下文中运行。

根据分析报告，攻击者通过利用COM跨会话激活，可以在提升的会话中创建一个ShellWindows对象，例如管理员会话。

通过使用如ShellExecute等方法，攻击者可以提升其权限，执行任意命令或启动反向Shell。

该漏洞被赋予了CVSS v3.1基础评分7.8，表示其严重性较高。利用该漏洞可能导致：

• 未经授权访问敏感文件和系统资源

• 安装恶意软件

• 系统修改或完全控制

攻击复杂度较低，仅需对目标系统具有本地访问权限。2024年7月发布的**概念验证（PoC）**利用代码进一步增加了该漏洞在实际环境中被利用的风险。

该漏洞影响多个版本的Windows Server：

• Windows Server 2016：版本低于10.0.14393.7159

• Windows Server 2019：版本低于10.0.17763.6054

• Windows Server 2022：版本低于10.0.20348.2582

• Windows Server 2022 (23H2)：版本低于10.0.25398.1009

缓解措施与补丁可用性微软在2024年7月的补丁星期二更新（KB5040434）中解决了此问题。该补丁移除了文件资源管理器在高完整性级别下运行时对已验证用户的不必要权限，从而有效消除了漏洞。

为了保护系统免受漏洞利用：

1. 应用安全更新：确保所有受影响的系统更新到最新的已修补版本。

2. 实施最小权限原则：限制用户权限，确保用户仅在必要时操作最低权限。

3. 监控系统活动：定期审计日志，检查是否有异常行为，可能指示利用尝试。

4. 用户教育：提高用户对运行不受信软件或与可疑文件交互的风险的意识。

   来源：cybersecuritynews

免责声明：

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

原文始发于微信公众号（网安百色）：Windows 文件资源管理器权限提升漏洞 （CVE-2024-38100）