在 afd.sys Windows 驱动程序中发现了一个严重的释放后使用漏洞,编号为 CVE-2024-38193。此漏洞的 CVSS 评分为 7.8,对 Windows 系统构成重大威胁,可能允许攻击者提升权限并执行任意代码。Exodus Intelligence 的安全研究员 Luca Ginex 对此漏洞进行了深入分析,对其利用过程提供了宝贵的见解。
发现并向微软报告该漏洞的安全研究公司 Gen Digital 表示,该漏洞允许攻击者绕过正常的安全限制,访问大多数用户和管理员通常无法访问的敏感系统区域。这种攻击既复杂又狡猾,在黑市上可能价值数十万美元。
研究人员披露了他们的追踪和归因结果,发现 Lazarus Group 一直在利用此漏洞安装名为 FudModule 的恶意软件。该恶意软件非常复杂,最初于 2022 年被 AhnLab 和 ESET 的研究人员发现。
CVE-2024-38193 位于 Windows 套接字的已注册 I/O (RIO) 扩展中,该功能旨在通过减少系统调用来优化套接字编程。该漏洞源于 afd.sys 驱动程序中 AfdRioGetAndCacheBuffer() 和 AfdRioDereferenceBuffer() 函数之间的竞争条件。正如 Ginex所解释的那样,“这些函数之间的竞争条件允许恶意用户强制 AfdRioGetAndCacheBuffer() 函数对已由 AfdRioDereferenceBuffer() 函数释放的已注册缓冲区结构进行操作。”
CVE-2024-38193 的利用涉及多阶段过程,正如 Ginex 所述:
堆喷射:攻击者使用伪造的 RIOBuffer 结构喷射非分页池并创建漏洞,为触发漏洞铺平道路。
触发漏洞:通过创建两个并发线程,攻击者在缓冲区仍在使用时取消注册,从而导致释放后使用的情况。
权限提升:攻击者利用释放的 RIOBuffer 结构来控制缓存的内容并提升权限。
该漏洞利用此任意写入功能覆盖 _SEP_TOKEN_PRIVILEGES 结构,从而授予 NT AUTHORITY\SYSTEM 权限。
独立安全研究员 Nephster在 GitHub 上发布了CVE-2024-38193 漏洞的概念验证 (PoC) 代码,进一步加剧了该漏洞的潜在威胁。该 PoC 演示了攻击者如何在未打补丁的系统上可靠地实现特权提升。
https://github.com/killvxk/CVE-2024-38193-Nephster
此漏洞已在 2024 年 8 月补丁星期二修复。强烈建议用户应用此补丁以降低潜在攻击的风险。CVE-2024-38193 的利用可能导致权限提升,使攻击者能够未经授权访问敏感数据并可能完全控制系统。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
