CVE-2024-21338 Windows AppLocker LPE 漏洞分析

文章预览

当我最初为CF的Windows研究员职位面试候选人时，我给出的一个挑战与 CVE-2024-21338 有关。这是一个Windows内核权限提升漏洞，具体来说是 appid.sys 驱动程序中的一个 不受信任指针解引用 漏洞。该驱动程序负责AppLocker技术。 当时，由于Avast在Lazarus FudModule Rootkit上的出色工作，这个漏洞变得非常出名。 这是我们新聘研究员的详细写作报告，欢迎加入团队！🙂 概要 根据Avast的详细帖子，漏洞的主要要点总结如下： 该漏洞存在于 AppHashComputeImageHashInternal() 函数中，可以通过向名为 \\Device\Appid 的设备对象发送值为 0x22A018 的IOCTL来调用。 驱动程序期望从IOCTL的输入缓冲区引用两个指针。 由于我们完全控制了指令指针和第一个参数中的数据，这个漏洞提供了一个强大的原语。 根据设备对象名上存在的ACL，只有 LOCAL SERVICE 和 AppIDSvc 用户有足够的权限发送目标 IoCo ………………………………