欧美日韩中文字幕综合-欧美日韩一区二区三区四区蜜桃视频-国精产品一区一区三区mba·-99热这里只有精品一区二区三区-久久久久久成人av-日韩成人在线大片-日韩精品中文在线视频-欧美日韩一二三区免费播放-亚洲av三级在线播放,亚洲av爽爽淫人网,熟女av在线资源,久久99热这里只有精品66

數(shù)字經(jīng)濟的安全基石

申請試用

媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

高價值樣本“X”的現(xiàn)身 技術(shù)咖快來領(lǐng)略其漏洞利用的精湛手法

閱讀量:
2021年至今,微軟修復(fù)11個Windows提權(quán)在野0day,其中包括安恒信息捕獲的2個內(nèi)核提權(quán)0day(包括2月份發(fā)表了關(guān)于“蔓靈花威脅組織在攻擊活動中存在使用WINDOWS內(nèi)核提權(quán)0DAY漏洞(CVE-2021-1732)”的分析報告)。


今天,請各位技術(shù)大咖、極客大佬們一起圍觀——安恒信息捕獲的Windows內(nèi)核提權(quán)1day。其漏洞利用的精湛手法、通用適配性和使用的穩(wěn)定性不輸于我們之前捕獲的CVE-2021-1732等在野0day;因此,這依然是一個高價值樣本,進一步證明了安恒信息獵影實驗室在Windows內(nèi)核提權(quán)樣本狩獵方面的業(yè)界領(lǐng)先能力。


這里也提醒相關(guān)組織機構(gòu),最近注意防范此類Windows內(nèi)核提權(quán)漏洞。


01

事情是這樣開始的

2021年10月16日,安恒信息威脅情報中心獵影實驗室捕獲一個Windows內(nèi)核提權(quán)漏洞樣本,經(jīng)過仔細分析和研判,我們確認該樣本為一個Windows內(nèi)核提權(quán)1day樣本,漏洞編號為CVE-2021-36955。


由于相關(guān)樣本適配了Windows7到Windows10 20H2的各種環(huán)境,鑒于情況的嚴重性,安恒威脅情報中心獵影實驗室對此次事件中涉及的1day漏洞進行了分析,并生成了《CVE-2021-36955Windows內(nèi)核提權(quán)在野1day樣本分析報告》。


02

看報告,一起燒腦

1、認出它

報告中,基于此次捕獲漏洞樣本的位置、補丁修復(fù)情況、漏洞的利用代碼成熟度字段等,看獵影實驗室如何推斷出漏洞編號為CVE-2021-36955?


2、攻擊分析

本次所捕獲的樣本運行穩(wěn)定,且適配了多種操作系統(tǒng),看該樣本可以在哪些操作系統(tǒng)版本中進行內(nèi)核提權(quán)(均為64位環(huán)境)?


3、漏洞利用細節(jié)

判斷當(dāng)前操作系統(tǒng)版本

?創(chuàng)建PipeAttribute屬性

?解釋任意地址讀取方式

?構(gòu)造出任意地址讀取原語

?獲取當(dāng)前進程的Token地址

?獲得當(dāng)前進程EPROCESS指針

?完成提權(quán)創(chuàng)建子進程

?完成整個漏洞利用過程


03

防范建議

1、升級安恒APT攻擊預(yù)警平臺,從流量預(yù)防該漏洞被利用的風(fēng)險。

2、升級明御主機安全及管理系統(tǒng)EDR,及時加固與防護終端。

3、部署本地化安恒威脅情報平臺(TIP),獲取最新威脅情報及分析報告,實時發(fā)現(xiàn)未知威脅。


官網(wǎng)xxxx、

碼上預(yù)約


前100名可獲取完整版報告

關(guān)閉

客服在線咨詢?nèi)肟?,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費試用,我們將在24小時內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式
水富县| 葵青区| 徐水县| 庄浪县| 顺昌县| 甘南县| 资中县| 易门县| 西畴县| 芦山县| 剑河县| 南漳县| 项城市| 绥江县| 龙南县| 和林格尔县| 建阳市| 江川县| 天长市| 康乐县| 扶沟县| 绿春县| 玉屏| 丹江口市| 木兰县| 林周县| 吉林市| 江西省| 托克逊县| 张家口市| 龙江县| 闻喜县| 建德市| 衢州市| 信宜市| 临高县| 郁南县| 永清县| 冕宁县| 临邑县| 宝坻区|