文章预览
综述 该漏洞样本为前段时间奇安信威胁情报中心日常在野漏洞监控运营经发现,其最早被上传时只有6个查杀。 经过分析确认该漏洞应该是在八月的微软补丁中被修复,是一个被修复的未知nday利用,运行的具体效果如下所示。 漏洞样本分析 这里首先过一下整个样本,样本开始首先启动了一个cmd,之后调用核心fun_vulstar。 fun_vulstar中判断当前的机器的相关版本。 之后动态获取部分系统api的函数地址。 开启一个新线程,调用漏洞利用函数fun_expProc。 fun_expProc调用fun_IoRingandPipeinit。 该函数中判断目标系统的版本是否支持I/O ring的提权方式,如果支持,则完成相关的初始化工作,并返回 var_ioringRegBuffers/var_ioringRegBuffersCount,这种方式具体利用细节可以看以下文章(https://windows-internals.com/one-i-o-ring-to-rule-them-all-a-full-read-write-exploit-primitive-on-windows-11/),简
………………………………
