专栏名称: 3072
威胁狩猎,漏洞挖掘
今天看啥  ›  专栏  ›  3072

CVE-2024-38106 race condition 漏洞分析

3072  · 公众号  ·  · 2024-09-04 11:38
    

文章预览

解析 CVE-2024-38106 的patch 在8月的安全补丁中,微软修复了多个 ntoskrnl.exe 漏洞,其中一个漏洞(CVE-2024-38106)正在被野外利用。由于在野外被利用的漏洞通常需要更为密切的关注,我们尝试为其创建一个POC。补丁分析期间使用的Windows版本:Windows 11,7月25日对比8月14日。 这篇文章并非深入的根本原因分析,但希望仍然有趣。 以下是结果: 1.jpg 在快速过滤掉非安全更改后,我们确定了两个值得关注的函数: VslGetSetSecureContext() 和 NtSetInformationWorkerFactory() 。 VslGetSetSecureContext() 之前: __int64 __fastcall  VslGetSetSecureContext (__int64 a1, __int64 a2, __int64 a3, __int64 a4) {   memset (v11,  0 ,  0x68 ui64);  v11[ 1 ] = a2;  v11[ 2 ] = a3;  v11[ 3 ] = a4;  LOWORD(v8) = (a1 !=  0 ) +  14 ;  LOBYTE(v9) =  2 ;   return  VslpEnterIumSecureMode(v9, v8,  0 i64, v11); } 之后: __int64 __fastcall  VslGetSetS ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览