安全研究人员公布了 Windows 注册表特权提升漏洞 CVE-2024-43452 (CVSS 7.5) 的技术细节和概念验证 (PoC) 漏洞代码。该漏洞由 Google Project Zero 的 Mateusz Jurczyk 报告,利用了 Windows 注册表配置单元内存管理中的设计疏忽,可能允许攻击者在易受攻击的机器上获得系统级访问权限。
CVE-2024-43452 的分析强调了操作系统中虚假文件不变性的危险。Jurczyk 将这项研究的灵感归功于 Gabriel Landau 对此类漏洞的研究。
该漏洞源于加载注册表配置单元期间的双重提取过程。根据分析,“在内存压力下,可能会从底层介质中提取、逐出并再次读取相同的内存页面……这是一个安全问题,因为……如果恶意 SMB 服务器对两个请求都使用不同的数据进行响应,那么它确实可以更改,从而打破内核的假设。”
Jurczyk 的概念验证演示了如何利用此缺陷:
攻击者在远程 SMB 服务器上托管恶意配置单元文件。
目标系统加载配置单元,在特定内存限制下触发内存提取和驱逐。
恶意服务器使用操纵的数据进行响应,破坏注册表配置单元结构并导致内存损坏。
通过控制FileOffset和Size等关键参数,攻击者可以利用此漏洞通过强大的内存损坏原语获取 SYSTEM 权限。
CVE-2024-43452 的概念验证 (PoC)涉及基于 Linux 的 SMB 服务器,该服务器运行 Python 脚本来操作配置单元文件。Jurczyk 详细说明了概念验证在安装了 2024 年 7 月补丁的 Windows 11 23H2 上有效。“该漏洞高度依赖于系统内存消耗/布局,因此如果第一次尝试没有重现,建议再试一次,检查内存使用情况(例如在任务管理器中),并可能尝试微调分配给虚拟机的物理内存量,”他指出。
微软在 2024 年 11 月补丁星期二更新中解决了此漏洞。强烈建议用户立即应用补丁以降低风险。对于组织而言,主动监控 SMB 流量并限制对注册表相关操作的访问可以进一步降低风险。
参考:
https://securityonline.info/cve-2024-43452-poc-exploit-released-for-windows-elevation-of-privilege-bug/
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
