暗网快报：Windows内核级0day、本地提权0day来袭！

1、暗网论坛惊现Windows"内核级"0day漏洞交易

2025年3月5日，XSS黑客社区的一则交易帖在网络安全界掀起轩然大波。用户"NightF4IL_dll"公开兜售名为"EDR Killer"的Windows内核级零日漏洞，该漏洞不仅允许对物理内存进行无限制的读写操作，还配套提供完整的C++攻击框架。这种级别的漏洞交易在暗网市场极为罕见，其技术破坏力足以动摇现代企业安全体系的根基。据分析，该漏洞存在于未公开的驱动程序签名中，通过精心构造的内存映射操作，攻击者可突破Windows内核地址空间布局随机化（KASLR）和受保护进程（Protected Processes）等安全机制。其核心特征包括：物理内存穿透：直接操作物理地址空间，绕过高阶内存保护机制；内核函数劫持：通过ntoskrnl.exe导出表重定向，实现任意内核函数调用；用户态提权：配套框架提供Ring3到Ring0的无痕过渡接口。

2、暗网论坛惊现Windows本地提权0day漏洞交易

2025年3月5日，暗网论坛用户"Beeper"公开出售两个Windows本地权限提升（LPE）0day漏洞包。第一个漏洞包（LPE + SBX）适用于Windows 10及Windows Server 2016-2022，售价12万美元；第二个漏洞包（经典LPE）支持Windows Server 2008-2022及部分Windows 10版本，售价15万美元。卖家强调交易采用独家销售模式，仅售予一人，并要求买家预先支付担保金。这两个未公开漏洞可帮助攻击者在已获得初始访问权限的系统上实现权限提升，可能导致数据泄露、恶意软件植入等严重后果。目前微软尚未发布相关安全公告，建议企业加强终端防护，密切关注漏洞情报更新。

目前尚无法验证漏洞的真实性。

如果这三个漏洞确认存在，即暗网兜售的Windows内核级0day漏洞（EDR Killer）和两个本地提权（LPE）漏洞包确有其事，那将标志着近期针对Windows系统的攻击技术进入一个新阶段。内核级漏洞可直接绕过EDR防护，实现物理内存操控，而LPE漏洞则能轻易将普通用户权限提升至SYSTEM级别。这些漏洞的组合使用，将极大降低高级攻击的技术门槛，可能导致大规模数据泄露、勒索软件攻击和APT渗透。

强烈建议企业立即采取以下措施：启用Hyper-V隔离模式、强化驱动签名验证、部署硬件级内存保护。同时，密切关注微软安全公告，及时更新补丁。这些漏洞的潜在危害不容忽视，防御刻不容缓。

参考资源：暗网论坛

原文始发于微信公众号（网空闲话plus）：暗网快报：Windows内核级0day、本地提权0day来袭！