文章预览
当我最初为CF的Windows研究员职位面试候选人时,我给出的一个挑战与 CVE-2024-21338 有关。这是一个Windows内核权限提升漏洞,具体来说是 appid.sys 驱动程序中的一个 不受信任指针解引用 漏洞。该驱动程序负责AppLocker技术。 当时,由于Avast在Lazarus FudModule Rootkit上的出色工作,这个漏洞变得非常出名。 这是我们新聘研究员的详细写作报告,欢迎加入团队!🙂 概要 根据Avast的详细帖子,漏洞的主要要点总结如下: 该漏洞存在于 AppHashComputeImageHashInternal() 函数中,可以通过向名为 \\Device\Appid 的设备对象发送值为 0x22A018 的IOCTL来调用。 驱动程序期望从IOCTL的输入缓冲区引用两个指针。 由于我们完全控制了指令指针和第一个参数中的数据,这个漏洞提供了一个强大的原语。 根据设备对象名上存在的ACL,只有 LOCAL SERVICE 和 AppIDSvc 用户有足够的权限发送目标 IoCo
………………………………
