声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
POC:https://github.com/varwara/CVE-2024-35250/
访问问题请访问:https://pan.quark.cn/s/98bd8faf3a64
省流:CVE-2024-35250 是一个影响多个 Windows 版本的提权漏洞,具体是在 Windows 的 ks.sys 驱动中存在的 "不受信任的指针解引用" 漏洞 (CWE-822)。这个漏洞可以通过利用未受信任的指针,来进行任意内存读写,最终实现权限提升。
关键点:
影响版本:
Windows 10 20H2 Build 19042
Windows 11 22H2 Build 22621
VMWare Workstation 17 Pro 环境下也可被利用。
漏洞细节:
攻击者可以通过发送特制的 IOCTL 请求触发 ks.sys 驱动中的漏洞,利用不可信指针的解引用,最终对系统内存进行任意读写操作。
限制条件:
实测该漏洞无法在 Hyper-V 环境中成功利用。
攻击者需要拥有中等权限(Medium Integrity Level,通常为普通用户权限),才能触发漏洞进行提权。
已知拦截:
当前大部分 XDR(扩展检测和响应)解决方案能够检测并阻止该漏洞的利用行为。
PoC 主要逻辑:
漏洞利用通过调用
NtQuerySystemInformation获取系统中所有句柄的信息,并定位目标进程和句柄的内核对象指针。伪造一个位图对象用于任意读写操作,并利用
DeviceIoControl发送恶意的 IOCTL 请求触发漏洞。成功利用该漏洞后,攻击者可以修改内核对象的关键字段,例如进程 Token,最终实现提权为 SYSTEM 权限。
