CVE-2024-38127 Hyper-V OOB read漏洞分析

文章预览

描述 CVE-2024-38127 是发生在 Hyper-V 中的权限提升（EoP）漏洞，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。然而，正如在 Weakness（CWE-126）中所看到的那样，触发的漏洞是 OOB（越界）读取，从 Microsoft 公开的信息来看，这似乎并不是真正可以实现 EoP 的漏洞。 patch diff 补丁差异分析使用了 Windows 11 22H2 环境中 2024 年 7 月（KB5040442）与 2024 年 8 月（KB5041585）补丁的对比。此次仍然通过 Patch-V 提取相关二进制文件并进行补丁对比，和之前的 CVE-2024-38080 一样，这次也是可以获取 SYSTEM 权限的 EoP 漏洞，因此我们重点对内核驱动（.sys）进行了差异分析。 漏洞 该漏洞发生在 vhdmp.sys 文件中，正如其名称（Virtual Hard Disk Mini Port）所示，它与虚拟硬盘有关。下面是漏洞所在的 VhdmpiQueryMetaData 函数。 VhdmpiQueryMetaData (vhdmp.sys 10.0.22621.3672) __int64 __fastcall VhdmpiQueryMetadata( ………………………………