专栏名称: 3072
威胁狩猎,漏洞挖掘
今天看啥  ›  专栏  ›  3072

CVE-2024-21338 Lazarus组织 admin2kernel LPE 漏洞分析与利用

3072  · 公众号  ·  · 2024-09-12 12:23

文章预览

摘要 在 2024年2月13日 的补丁星期二, 微软 根据Jan Vojtěšek与Avast的安全报告披露了CVE-2024-21338 。这是一种新的 Windows 从管理员到内核 ”权限提升漏洞,允许恶意攻击者,特别是与朝鲜合作的Lazarus组织,通过他们的FudModule.dll** rootkit 获得内核访问权限。我们都知道 BYOVD (“自带漏洞驱动程序”)的理念被全球的威胁行为者和恶意软件开发者广泛使用,他们利用自带签名的漏洞驱动程序来获取内核访问权限,但这一点超出了 BYOVD 的范围。这种技术适用于系统中已安装的Windows驱动程序:即 appid.sys ,这是一个由Windows AppLocker使用的驱动程序,微软网站上提到,“ AppLocker帮助您控制用户可以运行的应用程序和文件 ”。 CVE-2024-21338 漏洞通过 IOCTL (“ 输入输出控制 ”)通信中的特定函数调用,具体来说是通过 appid.sys 驱动中的 AipSmartHashImageFile 函数调用 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览