媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

高價值樣本“X”的現(xiàn)身技術(shù)咖快來領(lǐng)略其漏洞利用的精湛手法

閱讀量：次

2021年至今，微軟修復(fù)11個Windows提權(quán)在野0day，其中包括安恒信息捕獲的2個內(nèi)核提權(quán)0day（包括2月份發(fā)表了關(guān)于“蔓靈花威脅組織在攻擊活動中存在使用WINDOWS內(nèi)核提權(quán)0DAY漏洞（CVE-2021-1732）”的分析報告）。

今天，請各位技術(shù)大咖、極客大佬們一起圍觀——安恒信息捕獲的Windows內(nèi)核提權(quán)1day。其漏洞利用的精湛手法、通用適配性和使用的穩(wěn)定性不輸于我們之前捕獲的CVE-2021-1732等在野0day；因此，這依然是一個高價值樣本，進(jìn)一步證明了安恒信息獵影實(shí)驗(yàn)室在Windows內(nèi)核提權(quán)樣本狩獵方面的業(yè)界領(lǐng)先能力。

這里也提醒相關(guān)組織機(jī)構(gòu)，最近注意防范此類Windows內(nèi)核提權(quán)漏洞。

事情是這樣開始的

2021年10月16日，安恒信息威脅情報中心獵影實(shí)驗(yàn)室捕獲一個Windows內(nèi)核提權(quán)漏洞樣本，經(jīng)過仔細(xì)分析和研判，我們確認(rèn)該樣本為一個Windows內(nèi)核提權(quán)1day樣本，漏洞編號為CVE-2021-36955。

由于相關(guān)樣本適配了Windows7到Windows10 20H2的各種環(huán)境，鑒于情況的嚴(yán)重性，安恒威脅情報中心獵影實(shí)驗(yàn)室對此次事件中涉及的1day漏洞進(jìn)行了分析，并生成了《CVE-2021-36955Windows內(nèi)核提權(quán)在野1day樣本分析報告》。

看報告，一起燒腦

1、認(rèn)出它

報告中，基于此次捕獲漏洞樣本的位置、補(bǔ)丁修復(fù)情況、漏洞的利用代碼成熟度字段等，看獵影實(shí)驗(yàn)室如何推斷出漏洞編號為CVE-2021-36955？

2、攻擊分析

本次所捕獲的樣本運(yùn)行穩(wěn)定，且適配了多種操作系統(tǒng)，看該樣本可以在哪些操作系統(tǒng)版本中進(jìn)行內(nèi)核提權(quán)(均為64位環(huán)境)？

3、漏洞利用細(xì)節(jié)

判斷當(dāng)前操作系統(tǒng)版本

?創(chuàng)建PipeAttribute屬性

?解釋任意地址讀取方式

?構(gòu)造出任意地址讀取原語

?獲取當(dāng)前進(jìn)程的Token地址

?獲得當(dāng)前進(jìn)程EPROCESS指針

?完成提權(quán)創(chuàng)建子進(jìn)程

?完成整個漏洞利用過程

防范建議

1、升級安恒APT攻擊預(yù)警平臺，從流量預(yù)防該漏洞被利用的風(fēng)險。

2、升級明御主機(jī)安全及管理系統(tǒng)EDR，及時加固與防護(hù)終端。

3、部署本地化安恒威脅情報平臺(TIP)，獲取最新威脅情報及分析報告，實(shí)時發(fā)現(xiàn)未知威脅。

碼上預(yù)約

前100名可獲取完整版報告

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>