CVE-2024-21338 Lazarus组织 admin2kernel LPE 漏洞分析与利用

主要观点总结

本文介绍了CVE-2024-21338漏洞的详细信息，这是一个Windows管理员到内核的权限提升漏洞，允许恶意攻击者通过FudModule.dll rootkit获取内核访问权限。该漏洞涉及Windows中的appid.sys驱动程序，通过IOCTL通信中的特定函数调用利用易受攻击的IOCTL控制代码。文章还详细描述了攻击者如何利用此漏洞绕过安全系统并获取内核访问权限的过程。

关键观点总结

关键观点1: CVE-2024-21338漏洞允许通过appid.sys驱动程序的AipSmartHashImageFile函数调用进行权限提升。

该漏洞涉及到IOCTL通信，攻击者通过打开与目标驱动程序通信的句柄，利用特定构造的输入缓冲区调用控制代码，能够破坏_KTHREAD线程上下文中的PreviousMode字段，从而获取内核访问权限。

关键观点2: 攻击者可以利用Windows访问令牌来提升自己的权限。

通过令牌模拟技术，攻击者可以获取“LOCAL SERVICE”的访问权限，这是执行大多数“svchost.exe”进程的标识，从而成功打开对appid.sys设备句柄的句柄。

关键观点3: Microsoft已发布补丁来修复此漏洞。

Microsoft安全响应中心（MSRC）在发现此漏洞后迅速发布了补丁，通过在AipSmartHashImageFile函数调用之前添加ExGetPreviousMode检查来防止用户模式发起的调用触发回调函数。

免责声明