高价值样本“x”的现身 技术咖快来领略其漏洞利用的精湛手法-龙8app登录

今天，请各位技术大咖、极客大佬们一起围观——安恒信息捕获的windows内核提权1day。其漏洞利用的精湛手法、通用适配性和使用的稳定性不输于我们之前捕获的cve-2021-1732等在野0day；因此，这依然是一个高价值样本，进一步证明了安恒信息猎影实验室在windows内核提权样本狩猎方面的业界领先能力。

这里也提醒相关组织机构，最近注意防范此类windows内核提权漏洞。

2021年10月16日，安恒信息威胁情报中心猎影实验室捕获一个windows内核提权漏洞样本，经过仔细分析和研判，我们确认该样本为一个windows内核提权1day样本，漏洞编号为cve-2021-36955。

由于相关样本适配了windows7到windows10 20h2的各种环境，鉴于情况的严重性，安恒威胁情报中心猎影实验室对此次事件中涉及的1day漏洞进行了分析，并生成了《cve-2021-36955windows内核提权在野1day样本分析报告》。

1、认出它

报告中，基于此次捕获漏洞样本的位置、补丁修复情况、漏洞的利用代码成熟度字段等，看猎影实验室如何推断出漏洞编号为cve-2021-36955？

2、攻击分析

本次所捕获的样本运行稳定，且适配了多种操作系统，看该样本可以在哪些操作系统版本中进行内核提权(均为64位环境)？

3、漏洞利用细节

判断当前操作系统版本

➡创建pipeattribute属性

➡解释任意地址读取方式

➡构造出任意地址读取原语

➡获取当前进程的token地址

➡获得当前进程eprocess指针

➡完成提权创建子进程

➡完成整个漏洞利用过程

1、升级安恒apt攻击预警平台，从流量预防该漏洞被利用的风险。

2、升级明御主机安全及管理系统edr，及时加固与防护终端。

3、部署本地化安恒威胁情报平台(tip)，获取最新威胁情报及分析报告，实时发现未知威胁。

码上预约

前100名可获取完整版报告