高价值样本“X”的现身 技术咖快来领略其漏洞利用的精湛手法
今天,请各位技术大咖、极客大佬们一起围观——安恒信息捕获的Windows内核提权1day。其漏洞利用的精湛手法、通用适配性和使用的稳定性不输于我们之前捕获的CVE-2021-1732等在野0day;因此,这依然是一个高价值样本,进一步证明了安恒信息猎影实验室在Windows内核提权样本狩猎方面的业界领先能力。
这里也提醒相关组织机构,最近注意防范此类Windows内核提权漏洞。
01
事情是这样开始的
2021年10月16日,安恒信息威胁情报中心猎影实验室捕获一个Windows内核提权漏洞样本,经过仔细分析和研判,我们确认该样本为一个Windows内核提权1day样本,漏洞编号为CVE-2021-36955。
由于相关样本适配了Windows7到Windows10 20H2的各种环境,鉴于情况的严重性,安恒威胁情报中心猎影实验室对此次事件中涉及的1day漏洞进行了分析,并生成了《CVE-2021-36955Windows内核提权在野1day样本分析报告》。
02
看报告,一起烧脑
1、认出它
报告中,基于此次捕获漏洞样本的位置、补丁修复情况、漏洞的利用代码成熟度字段等,看猎影实验室如何推断出漏洞编号为CVE-2021-36955?
2、攻击分析
本次所捕获的样本运行稳定,且适配了多种操作系统,看该样本可以在哪些操作系统版本中进行内核提权(均为64位环境)?
3、漏洞利用细节
判断当前操作系统版本
➡创建PipeAttribute属性
➡解释任意地址读取方式
➡构造出任意地址读取原语
➡获取当前进程的Token地址
➡获得当前进程EPROCESS指针
➡完成提权创建子进程
➡完成整个漏洞利用过程
03
防范建议
1、升级安恒APT攻击预警平台,从流量预防该漏洞被利用的风险。
2、升级明御主机安全及管理系统EDR,及时加固与防护终端。
3、部署本地化安恒威胁情报平台(TIP),获取最新威胁情报及分析报告,实时发现未知威胁。
码上预约
前100名可获取完整版报告