CVE-2024-21338 Lazarus组织 admin2kernel LPE 漏洞分析与利用

文章预览

摘要 在 2024年2月13日 的补丁星期二， 微软 根据Jan Vojtěšek与Avast的安全报告披露了CVE-2024-21338 。这是一种新的 Windows 从管理员到内核 ”权限提升漏洞，允许恶意攻击者，特别是与朝鲜合作的Lazarus组织，通过他们的FudModule.dll** rootkit 获得内核访问权限。我们都知道 BYOVD （“自带漏洞驱动程序”）的理念被全球的威胁行为者和恶意软件开发者广泛使用，他们利用自带签名的漏洞驱动程序来获取内核访问权限，但这一点超出了 BYOVD 的范围。这种技术适用于系统中已安装的Windows驱动程序：即 appid.sys ，这是一个由Windows AppLocker使用的驱动程序，微软网站上提到，“ AppLocker帮助您控制用户可以运行的应用程序和文件 ”。 CVE-2024-21338 漏洞通过 IOCTL （“ 输入输出控制 ”）通信中的特定函数调用，具体来说是通过 appid.sys 驱动中的 AipSmartHashImageFile 函数调用 ………………………………