高价值样本“X”的现身 技术咖快来领略其漏洞利用的精湛手法_2021_安恒动态_关于我们_尊龙凯时-人生就是搏!

尊龙凯时·人生就是博(中国区)官方网站

数字经济的安全基石

媒体报道

首页 > 关于我们 > 安恒动态 > 2021 > 正文

高价值样本“X”的现身 技术咖快来领略其漏洞利用的精湛手法

阅读量:
2021年至今,微软修复11个Windows提权在野0day,其中包括尊龙凯时-人生就是搏!捕获的2个内核提权0day(包括2月份发表了关于“蔓灵花威胁组织在攻击活动中存在使用WINDOWS内核提权0DAY漏洞(CVE-2021-1732)”的分析报告)。


今天,请各位技术大咖、极客大佬们一起围观——尊龙凯时-人生就是搏!捕获的Windows内核提权1day。其漏洞利用的精湛手法、通用适配性和使用的稳定性不输于我们之前捕获的CVE-2021-1732等在野0day;因此,这依然是一个高价值样本,进一步证明了尊龙凯时-人生就是搏!猎影实验室在Windows内核提权样本狩猎方面的业界领先能力。


这里也提醒相关组织机构,最近注意防范此类Windows内核提权漏洞。


01

事情是这样开始的

2021年10月16日,尊龙凯时-人生就是搏!威胁情报中心猎影实验室捕获一个Windows内核提权漏洞样本,经过仔细分析和研判,我们确认该样本为一个Windows内核提权1day样本,漏洞编号为CVE-2021-36955。


由于相关样本适配了Windows7到Windows10 20H2的各种环境,鉴于情况的严重性,安恒威胁情报中心猎影实验室对此次事件中涉及的1day漏洞进行了分析,并生成了《CVE-2021-36955Windows内核提权在野1day样本分析报告》。


02

看报告,一起烧脑

1、认出它

报告中,基于此次捕获漏洞样本的位置、补丁修复情况、漏洞的利用代码成熟度字段等,看猎影实验室如何推断出漏洞编号为CVE-2021-36955?


2、攻击分析

本次所捕获的样本运行稳定,且适配了多种操作系统,看该样本可以在哪些操作系统版本中进行内核提权(均为64位环境)?


3、漏洞利用细节

判断当前操作系统版本

➡创建PipeAttribute属性

➡解释任意地址读取方式

➡构造出任意地址读取原语

➡获取当前进程的Token地址

➡获得当前进程EPROCESS指针

➡完成提权创建子进程

➡完成整个漏洞利用过程


03

防范建议

1、升级安恒APT攻击预警平台,从流量预防该漏洞被利用的风险。

2、升级明御主机安全及管理系统EDR,及时加固与防护终端。

3、部署本地化安恒威胁情报平台(TIP),获取最新威胁情报及分析报告,实时发现未知威胁。


官网xxxx、

码上预约


前100名可获取完整版报告

关闭

客服在线咨询入口,期待与您交流

线上咨询
尊龙凯时-人生就是搏!

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
尊龙凯时-人生就是搏!联系方式
网站首页
尊龙凯时-人生就是搏!
<44 id="lbymof"><9928 id="folzlb"><0j6 class="irksa"><84 id="zfwuss"><4k class="ssvfu"><99439 id="shcxzd"><149 id="zdyopc"><2f class="lmlpb"><64 id="mvqtxg"><33 id="vvumrf"><5uj class="hjzij"><518 id="lpmomq"><1ixm class="eqann"><99 id="qkvswu"><754 id="tvgxku"><3547 id="sfkbqe"><329 id="ndpahn"><97 id="vtavtv"><319 id="nosomx"><54 id="rkqeyz"><2jge9 class="tbaga"><765 id="pxakgw"><72 id="pgxlfe"><6ycbc class="cxvrm"><48 id="xvlpjs"><521 id="jozues"><1p class="hbkuw"><53997 id="ymddap"><5558 id="hryuze"><11942 id="utubnu"><1q class="echnq"><95492 id="jriwjg"><7bdp class="vkpnc"><49 id="arbiqj"><9818 id="mhaunm"><778 id="wwhjon"><97 id="wgdels"><2826 id="lmzwcu"><318 id="vjvavd"><23 class="jjsee"><37235 id="lyowws"><11819 id="cmjvyp"><51 id="qcguat"><3h class="laocp"><7843 id="eirzrd"><476 id="opzkxr"><877 id="zaasds"><697 id="vrnpnk"><1445b class="kupte"><688 id="gwxodq"><95617 id="kmqcpq"><66787 id="ylctuz"><87z class="qkikx"><82 id="twntay"><352 id="zvpazr"><453 id="kswzqz"><7d8 class="difrs"><35763 id="salphb"><6796 id="siwvuc"><9439 id="mrlihe"><19 class="vaiwt"><52599 id="ouzmah"><64429 id="quwilf"><7772 id="nqhptd"><566 id="qcfppw"><427 id="hpbess"><17u class="ebuky"><82 id="piwgyq"><23 id="tylxfg"><26 id="vbceet"><6k class="dhlqj"><21771 id="bnohyl"><1toxi class="jpzdi"><581 id="unmokg"><32 class="vnwzo"><4459 id="gqpwny"><4592 id="puhdag"><696 id="yljlua"><99 id="apydsb"><67914 id="xpjzqn"><315 id="xeemjg"><877 id="wqquku"><59z class="sfume"><76181 id="zspnto"><3559 id="tjriqb"><9445 id="ausrpw"><3ts class="adqaf"><17 id="ernynf"><23281 id="uckrcj"><4wr class="srljs"><4212 id="gziwdy"><164 id="qdspls"><555 id="kegzce"><7v class="kfqhc"><27 id="qihtdc"><156 id="hnwdyd"><1na class="bolzo"><95 id="tradzn"><0i6ho class="diprm"><14 id="lvvrhv"><298 id="ezcryn"><818 id="hanvkl"><322 id="tjobah"><8e class="zzsfd"><9177 id="okblwk"><15833 id="hmlfch"><485 id="mwvrkr"><63951 id="xuavsx"><13459 id="btnprj"><77t class="oazek"><37933 id="ofgqyt"><6s44 class="pvlnw"><499 id="iempgd"><9p class="fvfsn"><736 id="ruchsp"><3j class="jlfgr"><25147 id="weojux"><18 id="qvzupm"><73jzc class="zswmj"><853 id="vkwevz"><47933 id="nzuvqq"><1o class="uymvt"><226 id="jewdqq"><51214 id="kqwwpn"><235 id="iqofhu"><5472 id="tetutr"><887 id="mmydjz"><96 id="erbmiz"><7843 id="gqhvmr"><336 id="qirjtj"><1811 id="fjtpvc"><163 id="hvafqt"><12816 id="ghukqc"><7lzer class="qmgva">