AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
高價值樣本“X”的現身 技術咖快來領略其漏洞利用的精湛手法
今天,請各位技術大咖、極客大佬們一起圍觀——安恒信息捕獲的Windows內核提權1day。其漏洞利用的精湛手法、通用適配性和使用的穩定性不輸于我們之前捕獲的CVE-2021-1732等在野0day;因此,這依然是一個高價值樣本,進一步證明了安恒信息獵影實驗室在Windows內核提權樣本狩獵方面的業界領先能力。
這里也提醒相關組織機構,最近注意防范此類Windows內核提權漏洞。
01
事情是這樣開始的
2021年10月16日,安恒信息威脅情報中心獵影實驗室捕獲一個Windows內核提權漏洞樣本,經過仔細分析和研判,我們確認該樣本為一個Windows內核提權1day樣本,漏洞編號為CVE-2021-36955。
由于相關樣本適配了Windows7到Windows10 20H2的各種環境,鑒于情況的嚴重性,安恒威脅情報中心獵影實驗室對此次事件中涉及的1day漏洞進行了分析,并生成了《CVE-2021-36955Windows內核提權在野1day樣本分析報告》。
02
看報告,一起燒腦
1、認出它
報告中,基于此次捕獲漏洞樣本的位置、補丁修復情況、漏洞的利用代碼成熟度字段等,看獵影實驗室如何推斷出漏洞編號為CVE-2021-36955?
2、攻擊分析
本次所捕獲的樣本運行穩定,且適配了多種操作系統,看該樣本可以在哪些操作系統版本中進行內核提權(均為64位環境)?
3、漏洞利用細節
判斷當前操作系統版本
?創建PipeAttribute屬性
?解釋任意地址讀取方式
?構造出任意地址讀取原語
?獲取當前進程的Token地址
?獲得當前進程EPROCESS指針
?完成提權創建子進程
?完成整個漏洞利用過程
03
防范建議
1、升級安恒APT攻擊預警平臺,從流量預防該漏洞被利用的風險。
2、升級明御主機安全及管理系統EDR,及時加固與防護終端。
3、部署本地化安恒威脅情報平臺(TIP),獲取最新威脅情報及分析報告,實時發現未知威脅。
碼上預約
前100名可獲取完整版報告
