CVE-2024-21338 Lazarus组织 admin2kernel LPE 漏洞分析与利用

主要观点总结

本文介绍了CVE-2024-21338漏洞的详细信息，这是一个Windows管理员到内核的权限提升漏洞，允许恶意攻击者通过FudModule.dll rootkit获取内核访问权限。该漏洞涉及Windows中的appid.sys驱动程序，通过IOCTL通信中的特定函数调用利用易受攻击的IOCTL控制代码。文章还详细描述了攻击者如何利用此漏洞绕过安全系统并获取内核访问权限的过程。

关键观点总结

关键观点1: CVE-2024-21338漏洞允许通过appid.sys驱动程序的AipSmartHashImageFile函数调用进行权限提升。

该漏洞涉及到IOCTL通信，攻击者通过打开与目标驱动程序通信的句柄，利用特定构造的输入缓冲区调用控制代码，能够破坏_KTHREAD线程上下文中的PreviousMode字段，从而获取内核访问权限。

关键观点2: 攻击者可以利用Windows访问令牌来提升自己的权限。

通过令牌模拟技术，攻击者可以获取“LOCAL SERVICE”的访问权限，这是执行大多数“svchost.exe”进程的标识，从而成功打开对appid.sys设备句柄的句柄。

关键观点3: Microsoft已发布补丁来修复此漏洞。

Microsoft安全响应中心（MSRC）在发现此漏洞后迅速发布了补丁，通过在AipSmartHashImageFile函数调用之前添加ExGetPreviousMode检查来防止用户模式发起的调用触发回调函数。

文章预览

摘要 在 2024年2月13日 的补丁星期二， 微软 根据Jan Vojtěšek与Avast的安全报告披露了CVE-2024-21338 。这是一种新的 Windows 从管理员到内核 ”权限提升漏洞，允许恶意攻击者，特别是与朝鲜合作的Lazarus组织，通过他们的FudModule.dll** rootkit 获得内核访问权限。我们都知道 BYOVD （“自带漏洞驱动程序”）的理念被全球的威胁行为者和恶意软件开发者广泛使用，他们利用自带签名的漏洞驱动程序来获取内核访问权限，但这一点超出了 BYOVD 的范围。这种技术适用于系统中已安装的Windows驱动程序：即 appid.sys ，这是一个由Windows AppLocker使用的驱动程序，微软网站上提到，“ AppLocker帮助您控制用户可以运行的应用程序和文件 ”。 CVE-2024-21338 漏洞通过 IOCTL （“ 输入输出控制 ”）通信中的特定函数调用，具体来说是通过 appid.sys 驱动中的 AipSmartHashImageFile 函数调用 ………………………………