AI智能體專區(qū)
立即體驗恒腦安全智能體 
立即解鎖AI安服數(shù)字員工 
行業(yè)解決方案
技術(shù)解決方案
【支持檢測】微軟CVE-2023-28252內(nèi)核提權(quán)漏洞風(fēng)險通告
微軟內(nèi)核提權(quán)0day漏洞
“
內(nèi)核提權(quán)0day檢測
0day/1day作為高級威脅攻擊武器庫中的重要戰(zhàn)略武器,有著很高的價值,能夠在攻擊的關(guān)鍵環(huán)節(jié)起到關(guān)鍵作用。
特權(quán)提升,作為攻擊者滲入后核心目標(biāo)之一, 能夠以更大的權(quán)限訪問、控制目標(biāo)對象,其通常利用系統(tǒng)弱點、錯誤配置、漏洞等方式。
內(nèi)核提權(quán)漏洞利用可以使攻擊者從用戶態(tài)低權(quán)限穿透到內(nèi)核態(tài)高權(quán)限,從而完整的掌握被控電腦資源。
安恒信息沙盒引擎基于內(nèi)核提權(quán)流程、表現(xiàn)效果、關(guān)鍵證據(jù)等行為考量,制定了一套通用檢測解決方案,能夠不基于特定漏洞,以通用模式即可檢測出內(nèi)核提權(quán)。
因此,無論是0day/1day內(nèi)核提權(quán)漏洞,安恒信息沙盒引擎都能夠進行輕松檢測。在面臨內(nèi)核提權(quán)0day安全威脅時,核心檢測模塊無需升級、無需額外策略即可做到檢測。
同時,安恒信息沙盒引擎還能通過動靜態(tài)安全策略檢測、機器學(xué)習(xí)行為檢測等模塊對此威脅進行動態(tài)、靜態(tài)雙向維度的威脅發(fā)現(xiàn)。
檢測示例
安恒信息沙盒引擎通用內(nèi)核提權(quán)檢測框架能夠?qū)ζ溥M行檢測,用戶可以通過以下鏈接查看效果:
https://sandbox.dbappsecurity.com.cn
“
安恒信息多款產(chǎn)品支持檢測
明御APT攻擊預(yù)警平臺
終端安全及防病毒系統(tǒng)(EDR)
“
處置建議
鑒于該漏洞影響范圍較廣,建議所有用戶及時安裝更新補丁:
Windows自動更新
Windows系統(tǒng)默認(rèn)啟用 Microsoft Update,當(dāng)檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。還可通過以下步驟快速安裝更新:1、點擊“開始菜單”或按Windows快捷鍵,點擊進入“設(shè)置”2、選擇“更新和安全”,進入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”,步驟為“控制面板”-> “系統(tǒng)和安全”->“Windows更新”)3、選擇“檢查更新”,等待系統(tǒng)將自動檢查并下載可用更新4、重啟計算機,安裝更新
系統(tǒng)重新啟動后,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標(biāo)系統(tǒng)的補丁進行下載并安裝。
手動安裝補丁
另外,對于不能自動更新的系統(tǒng)版本,可參考以下鏈接下載適用于該系統(tǒng)的4月補丁并安裝:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
\ | /
★
此前,安恒信息中央研究院已捕獲3個微軟內(nèi)核提權(quán)0day漏洞,此次捕獲新的Windows內(nèi)核提權(quán)0day,再一次證明了中央研究院在漏洞挖掘、風(fēng)險識別及防御體系構(gòu)建方面仍占據(jù)世界領(lǐng)先地位。
未來,中央研究院將持續(xù)以打造國際一流的安全企業(yè)研究院為目標(biāo),肩負(fù)著安恒信息研究與創(chuàng)新前沿的重任,面向數(shù)字經(jīng)濟時代,洞悉技術(shù)發(fā)展趨勢與重大機會、推進原子化安全能力建設(shè)、打造創(chuàng)新應(yīng)用場景、提升工程技術(shù)效能,為安恒信息高質(zhì)量、高增長發(fā)展持續(xù)注入源動力,使安恒信息成為數(shù)字經(jīng)濟時代的安全屏障!
