首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

【支持檢測(cè)】微軟CVE-2023-28252內(nèi)核提權(quán)漏洞風(fēng)險(xiǎn)通告

閱讀量：次 文章來(lái)源：安恒信息

微軟內(nèi)核提權(quán)0day漏洞

4月12號(hào)，微軟發(fā)布了最新的漏洞補(bǔ)丁程序，此次公告中的內(nèi)核提權(quán)漏洞CVE-2023-28252，由安恒信息、卡巴斯基及Mandiant公司同時(shí)捕獲，這也是安恒信息成功捕獲的第4枚在野內(nèi)核提權(quán)0day！

據(jù)衛(wèi)兵實(shí)驗(yàn)室專家分析，該漏洞影響Windows 7，Windows 8.1， Windows 10，Windows 11等操作系統(tǒng)和以及Windows Server 2008，Windows Server2012，Windows Server 2016，Windows Server 2019、Windows Server 2022等服務(wù)器版本，受影響范圍較為廣泛。

在此，也提醒相關(guān)部門(mén)和廣大廠商近期注意防范此類Windows內(nèi)核提權(quán)漏洞。目前，安恒信息多款產(chǎn)品已具備該漏洞檢測(cè)能力。

“

內(nèi)核提權(quán)0day檢測(cè)

0day/1day作為高級(jí)威脅攻擊武器庫(kù)中的重要戰(zhàn)略武器，有著很高的價(jià)值，能夠在攻擊的關(guān)鍵環(huán)節(jié)起到關(guān)鍵作用。

特權(quán)提升，作為攻擊者滲入后核心目標(biāo)之一，能夠以更大的權(quán)限訪問(wèn)、控制目標(biāo)對(duì)象，其通常利用系統(tǒng)弱點(diǎn)、錯(cuò)誤配置、漏洞等方式。

內(nèi)核提權(quán)漏洞利用可以使攻擊者從用戶態(tài)低權(quán)限穿透到內(nèi)核態(tài)高權(quán)限，從而完整的掌握被控電腦資源。

安恒信息沙盒引擎基于內(nèi)核提權(quán)流程、表現(xiàn)效果、關(guān)鍵證據(jù)等行為考量，制定了一套通用檢測(cè)解決方案，能夠不基于特定漏洞，以通用模式即可檢測(cè)出內(nèi)核提權(quán)。

因此，無(wú)論是0day/1day內(nèi)核提權(quán)漏洞，安恒信息沙盒引擎都能夠進(jìn)行輕松檢測(cè)。在面臨內(nèi)核提權(quán)0day安全威脅時(shí)，核心檢測(cè)模塊無(wú)需升級(jí)、無(wú)需額外策略即可做到檢測(cè)。

同時(shí)，安恒信息沙盒引擎還能通過(guò)動(dòng)靜態(tài)安全策略檢測(cè)、機(jī)器學(xué)習(xí)行為檢測(cè)等模塊對(duì)此威脅進(jìn)行動(dòng)態(tài)、靜態(tài)雙向維度的威脅發(fā)現(xiàn)。

檢測(cè)示例

4月12日，微軟發(fā)布了最新的Windows補(bǔ)丁，我們關(guān)注到一個(gè)內(nèi)核提權(quán)漏洞CVE-2023-28252，該漏洞被標(biāo)記為在野利用，即在真實(shí)攻擊場(chǎng)景中被利用。通過(guò)該漏洞，攻擊者能夠從用戶態(tài)權(quán)限直接提升到系統(tǒng)權(quán)限。

在對(duì)此內(nèi)核提權(quán)漏洞關(guān)聯(lián)分析過(guò)程中，安恒在線云沙盒發(fā)現(xiàn)了另外一個(gè)疑似在野樣本，該樣本偽裝為國(guó)外知名軟件公司的軟件組件，使用了一個(gè)未驗(yàn)證通過(guò)的簽名，并通過(guò)CryptOne進(jìn)行了加殼。種種跡象表明該漏洞已被實(shí)戰(zhàn)化利用。

安恒信息沙盒引擎通用內(nèi)核提權(quán)檢測(cè)框架能夠?qū)ζ溥M(jìn)行檢測(cè)，用戶可以通過(guò)以下鏈接查看效果：

https://sandbox.dbappsecurity.com.cn

如圖所示，樣本在檢測(cè)環(huán)境中執(zhí)行提權(quán)操作被成功檢測(cè)。

通過(guò)動(dòng)態(tài)檢測(cè)規(guī)則，我們發(fā)現(xiàn)樣本執(zhí)行后，用戶權(quán)限從低權(quán)限提升到system權(quán)限。

另外，樣本在漏洞利用過(guò)程中利用失敗觸發(fā)藍(lán)屏，也能命中規(guī)則成功檢測(cè)。

“

安恒信息多款產(chǎn)品支持檢測(cè)

明御APT攻擊預(yù)警平臺(tái)

安恒信息明御APT攻擊預(yù)警平臺(tái)內(nèi)置虎鯨沙箱有效支持對(duì)Windows內(nèi)核提權(quán)0day/1day的檢測(cè)，虎鯨沙箱采用業(yè)界首創(chuàng)“鯨吞”Windows容器技術(shù)，創(chuàng)新性地應(yīng)用輕量級(jí)資源隔離技術(shù)，突破windows部署限制，實(shí)現(xiàn)單虛擬機(jī)多任務(wù)并行分析，成倍提高動(dòng)態(tài)分析效率，具有行為捕獲能力強(qiáng)、反逃逸能力突出的特點(diǎn)。

終端安全及防病毒系統(tǒng)（EDR）

安恒EDR已更新相應(yīng)檢測(cè)策略，使用安恒EDR的用戶能夠發(fā)現(xiàn)全局終端存在的漏洞情況并支持自動(dòng)修復(fù)，也可以通過(guò)安恒EDR客戶端一鍵掃描、修復(fù)相關(guān)漏洞。

“

處置建議

鑒于該漏洞影響范圍較廣，建議所有用戶及時(shí)安裝更新補(bǔ)丁：

Windows自動(dòng)更新

Windows系統(tǒng)默認(rèn)啟用 Microsoft Update，當(dāng)檢測(cè)到可用更新時(shí)，將會(huì)自動(dòng)下載更新并在下一次啟動(dòng)時(shí)安裝。還可通過(guò)以下步驟快速安裝更新：1、點(diǎn)擊“開(kāi)始菜單”或按Windows快捷鍵，點(diǎn)擊進(jìn)入“設(shè)置”2、選擇“更新和安全”，進(jìn)入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通過(guò)控制面板進(jìn)入“Windows更新”，步驟為“控制面板”-> “系統(tǒng)和安全”->“Windows更新”）3、選擇“檢查更新”，等待系統(tǒng)將自動(dòng)檢查并下載可用更新4、重啟計(jì)算機(jī)，安裝更新

系統(tǒng)重新啟動(dòng)后，可通過(guò)進(jìn)入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對(duì)于沒(méi)有成功安裝的更新，可以點(diǎn)擊該更新名稱進(jìn)入微軟官方更新描述鏈接，點(diǎn)擊最新的SSU名稱并在新鏈接中點(diǎn)擊“Microsoft 更新目錄”，然后在新鏈接中選擇適用于目標(biāo)系統(tǒng)的補(bǔ)丁進(jìn)行下載并安裝。

手動(dòng)安裝補(bǔ)丁

另外，對(duì)于不能自動(dòng)更新的系統(tǒng)版本，可參考以下鏈接下載適用于該系統(tǒng)的4月補(bǔ)丁并安裝：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

\ | /

★

此前，安恒信息中央研究院已捕獲3個(gè)微軟內(nèi)核提權(quán)0day漏洞，此次捕獲新的Windows內(nèi)核提權(quán)0day，再一次證明了中央研究院在漏洞挖掘、風(fēng)險(xiǎn)識(shí)別及防御體系構(gòu)建方面仍占據(jù)世界領(lǐng)先地位。

未來(lái)，中央研究院將持續(xù)以打造國(guó)際一流的安全企業(yè)研究院為目標(biāo)，肩負(fù)著安恒信息研究與創(chuàng)新前沿的重任，面向數(shù)字經(jīng)濟(jì)時(shí)代，洞悉技術(shù)發(fā)展趨勢(shì)與重大機(jī)會(huì)、推進(jìn)原子化安全能力建設(shè)、打造創(chuàng)新應(yīng)用場(chǎng)景、提升工程技術(shù)效能，為安恒信息高質(zhì)量、高增長(zhǎng)發(fā)展持續(xù)注入源動(dòng)力，使安恒信息成為數(shù)字經(jīng)濟(jì)時(shí)代的安全屏障！

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>