AI智能體專區(qū)
立即體驗(yàn)恒腦安全智能體 
立即解鎖AI安服數(shù)字員工 
行業(yè)解決方案
技術(shù)解決方案
媒體報(bào)道
高價(jià)值樣本“X”的現(xiàn)身 技術(shù)咖快來領(lǐng)略其漏洞利用的精湛手法
今天,請各位技術(shù)大咖、極客大佬們一起圍觀——安恒信息捕獲的Windows內(nèi)核提權(quán)1day。其漏洞利用的精湛手法、通用適配性和使用的穩(wěn)定性不輸于我們之前捕獲的CVE-2021-1732等在野0day;因此,這依然是一個(gè)高價(jià)值樣本,進(jìn)一步證明了安恒信息獵影實(shí)驗(yàn)室在Windows內(nèi)核提權(quán)樣本狩獵方面的業(yè)界領(lǐng)先能力。
這里也提醒相關(guān)組織機(jī)構(gòu),最近注意防范此類Windows內(nèi)核提權(quán)漏洞。
01
事情是這樣開始的
2021年10月16日,安恒信息威脅情報(bào)中心獵影實(shí)驗(yàn)室捕獲一個(gè)Windows內(nèi)核提權(quán)漏洞樣本,經(jīng)過仔細(xì)分析和研判,我們確認(rèn)該樣本為一個(gè)Windows內(nèi)核提權(quán)1day樣本,漏洞編號(hào)為CVE-2021-36955。
由于相關(guān)樣本適配了Windows7到Windows10 20H2的各種環(huán)境,鑒于情況的嚴(yán)重性,安恒威脅情報(bào)中心獵影實(shí)驗(yàn)室對此次事件中涉及的1day漏洞進(jìn)行了分析,并生成了《CVE-2021-36955Windows內(nèi)核提權(quán)在野1day樣本分析報(bào)告》。
02
看報(bào)告,一起燒腦
1、認(rèn)出它
報(bào)告中,基于此次捕獲漏洞樣本的位置、補(bǔ)丁修復(fù)情況、漏洞的利用代碼成熟度字段等,看獵影實(shí)驗(yàn)室如何推斷出漏洞編號(hào)為CVE-2021-36955?
2、攻擊分析
本次所捕獲的樣本運(yùn)行穩(wěn)定,且適配了多種操作系統(tǒng),看該樣本可以在哪些操作系統(tǒng)版本中進(jìn)行內(nèi)核提權(quán)(均為64位環(huán)境)?
3、漏洞利用細(xì)節(jié)
判斷當(dāng)前操作系統(tǒng)版本
?創(chuàng)建PipeAttribute屬性
?解釋任意地址讀取方式
?構(gòu)造出任意地址讀取原語
?獲取當(dāng)前進(jìn)程的Token地址
?獲得當(dāng)前進(jìn)程EPROCESS指針
?完成提權(quán)創(chuàng)建子進(jìn)程
?完成整個(gè)漏洞利用過程
03
防范建議
1、升級安恒APT攻擊預(yù)警平臺(tái),從流量預(yù)防該漏洞被利用的風(fēng)險(xiǎn)。
2、升級明御主機(jī)安全及管理系統(tǒng)EDR,及時(shí)加固與防護(hù)終端。
3、部署本地化安恒威脅情報(bào)平臺(tái)(TIP),獲取最新威脅情報(bào)及分析報(bào)告,實(shí)時(shí)發(fā)現(xiàn)未知威脅。
碼上預(yù)約
前100名可獲取完整版報(bào)告
相關(guān)推薦
- 數(shù)萬人一起圍觀的產(chǎn)品開箱
- 這一年,我們謄寫安全“物”語
- 《個(gè)人信息保護(hù)法》背景下談?wù)勅绾巫R(shí)別App個(gè)人數(shù)據(jù)采集行為
- 與國家工信安全中心戰(zhàn)略簽約 安恒信息在2021工業(yè)信息安全大會(huì)上斬獲多項(xiàng)碩果
- 《個(gè)人信息保護(hù)法》背景下談?wù)勅绾巫R(shí)別App個(gè)人數(shù)據(jù)采集行為
- 《個(gè)人信息保護(hù)法》背景下談?wù)勅绾巫R(shí)別App個(gè)人數(shù)據(jù)采集行為
- 播種信任 耕耘時(shí)光 寄望未來 | 2021安恒信息年度盤點(diǎn)
