CVE-2024-38106 race condition 漏洞分析

文章预览

解析 CVE-2024-38106 的patch 在8月的安全补丁中，微软修复了多个 ntoskrnl.exe 漏洞，其中一个漏洞（CVE-2024-38106）正在被野外利用。由于在野外被利用的漏洞通常需要更为密切的关注，我们尝试为其创建一个POC。补丁分析期间使用的Windows版本：Windows 11，7月25日对比8月14日。 这篇文章并非深入的根本原因分析，但希望仍然有趣。 以下是结果： 1.jpg 在快速过滤掉非安全更改后，我们确定了两个值得关注的函数： VslGetSetSecureContext() 和 NtSetInformationWorkerFactory() 。 VslGetSetSecureContext() 之前： __int64 __fastcall  VslGetSetSecureContext (__int64 a1, __int64 a2, __int64 a3, __int64 a4) {   memset (v11,  0 ,  0x68 ui64);  v11[ 1 ] = a2;  v11[ 2 ] = a3;  v11[ 3 ] = a4;  LOWORD(v8) = (a1 !=  0 ) +  14 ;  LOBYTE(v9) =  2 ;   return  VslpEnterIumSecureMode(v9, v8,  0 i64, v11); } 之后： __int64 __fastcall  VslGetSetS ………………………………