数字经济的安全基石

首页 > 安恒动态 > 资讯中心 > 正文

高价值样本“X”的现身 技术咖快来领略其漏洞利用的精湛手法

阅读量:
2021年至今,微软修复11个Windows提权在野0day,其中包括安恒信息捕获的2个内核提权0day(包括2月份发表了关于“蔓灵花威胁组织在攻击活动中存在使用WINDOWS内核提权0DAY漏洞(CVE-2021-1732)”的分析报告)。


今天,请各位技术大咖、极客大佬们一起围观——安恒信息捕获的Windows内核提权1day。其漏洞利用的精湛手法、通用适配性和使用的稳定性不输于我们之前捕获的CVE-2021-1732等在野0day;因此,这依然是一个高价值样本,进一步证明了安恒信息猎影实验室在Windows内核提权样本狩猎方面的业界领先能力


这里也提醒相关组织机构,最近注意防范此类Windows内核提权漏洞。


01

事情是这样开始的

2021年10月16日,安恒信息威胁情报中心猎影实验室捕获一个Windows内核提权漏洞样本,经过仔细分析和研判,我们确认该样本为一个Windows内核提权1day样本,漏洞编号为CVE-2021-36955。


由于相关样本适配了Windows7到Windows10 20H2的各种环境,鉴于情况的严重性,安恒威胁情报中心猎影实验室对此次事件中涉及的1day漏洞进行了分析,并生成了《CVE-2021-36955Windows内核提权在野1day样本分析报告》。


02

看报告,一起烧脑

1、认出它

报告中,基于此次捕获漏洞样本的位置、补丁修复情况、漏洞的利用代码成熟度字段等,看猎影实验室如何推断出漏洞编号为CVE-2021-36955?


2、攻击分析

本次所捕获的样本运行稳定,且适配了多种操作系统,看该样本可以在哪些操作系统版本中进行内核提权(均为64位环境)?


3、漏洞利用细节

判断当前操作系统版本

➡创建PipeAttribute属性

➡解释任意地址读取方式

➡构造出任意地址读取原语

➡获取当前进程的Token地址

➡获得当前进程EPROCESS指针

➡完成提权创建子进程

➡完成整个漏洞利用过程


03

防范建议

1、升级安恒APT攻击预警平台,从流量预防该漏洞被利用的风险。

2、升级明御主机安全及管理系统EDR,及时加固与防护终端。

3、部署本地化安恒威胁情报平台(TIP),获取最新威胁情报及分析报告,实时发现未知威胁。


官网xxxx、

码上预约


前100名可获取完整版报告

关闭