安全研究人员公布了 CVE-2024-43452 (CVSS 7.5) 的技术细节和概念验证 (PoC) 漏洞利用代码,这是一个 Windows 注册表权限提升漏洞。该漏洞由 Google Project Zero 的 Mateusz Jurczyk 报告,它利用了 Windows 注册表蜂巢内存管理中的一个设计疏忽,可能允许攻击者在有漏洞的机器上获得 SYSTEM 级访问权限。
对 CVE-2024-43452 的分析强调了操作系统中虚假文件不变性的危险。Jurczyk 将这项研究的灵感归功于 Gabriel Landau 在该类漏洞上的工作。
该漏洞源于在加载注册表 hives 时的一个称为双重取回的过程。根据分析,“在内存压力下,有可能从底层介质中获取、驱逐和再次读取相同的内存页……这是一个安全问题,因为……如果恶意 SMB 服务器在两次请求中都以不同的数据做出响应,那么它确实会发生变化,从而打破内核的假设。”
Jurczyk 的概念验证演示了如何利用这一漏洞:
- 攻击者在远程 SMB 服务器上托管一个恶意蜂巢文件。
- 目标系统加载蜂巢文件,在特定内存约束下触发内存获取和驱逐。
- 恶意服务器会响应篡改数据,破坏注册表蜂巢结构并导致内存损坏。
通过控制 FileOffset 和 Size 等关键参数,攻击者可以利用这一漏洞,通过强大的内存破坏原语获得系统管理员权限。
CVE-2024-43452 的概念验证(PoC)涉及基于 Linux 的 SMB 服务器运行 Python 脚本来操纵蜂巢文件。Jurczyk 详细说明,概念验证在安装了 2024 年 7 月补丁的 Windows 11 23H2 上运行。他指出:“该漏洞高度依赖于系统内存消耗/布局,因此如果第一次尝试没有重现,建议再试一次,检查内存使用程度(例如在任务管理器中),并尝试微调分配给虚拟机的物理内存量。”
微软在 11 月 2024 日的补丁星期二更新中解决了这一漏洞。我们强烈建议用户立即打上补丁,以降低风险。对于企业来说,主动监控 SMB 流量和限制注册表相关操作的访问权限可以进一步降低风险。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容