微软内核提权0day漏洞
4月12号,微软发布了最新的漏洞补丁程序,此次公告中的内核提权漏洞CVE-2023-28252,由安恒信息、卡巴斯基及Mandiant公司同时捕获,这也是安恒信息成功捕获的第4枚在野内核提权0day!
据卫兵实验室专家分析,该漏洞影响Windows 7,Windows 8.1, Windows 10,Windows 11等操作系统和以及Windows Server 2008,Windows Server2012,Windows Server 2016,Windows Server 2019、Windows Server 2022等服务器版本,受影响范围较为广泛。
在此,也提醒相关部门和广大厂商近期注意防范此类Windows内核提权漏洞。目前,安恒信息多款产品已具备该漏洞检测能力。
内核提权0day检测
0day/1day作为高级威胁攻击武器库中的重要战略武器,有着很高的价值,能够在攻击的关键环节起到关键作用。
特权提升,作为攻击者渗入后核心目标之一, 能够以更大的权限访问、控制目标对象,其通常利用系统弱点、错误配置、漏洞等方式。
内核提权漏洞利用可以使攻击者从用户态低权限穿透到内核态高权限,从而完整的掌握被控电脑资源。
安恒信息沙盒引擎基于内核提权流程、表现效果、关键证据等行为考量,制定了一套通用检测解决方案,能够不基于特定漏洞,以通用模式即可检测出内核提权。
因此,无论是0day/1day内核提权漏洞,安恒信息沙盒引擎都能够进行轻松检测。在面临内核提权0day安全威胁时,核心检测模块无需升级、无需额外策略即可做到检测。
同时,安恒信息沙盒引擎还能通过动静态安全策略检测、机器学习行为检测等模块对此威胁进行动态、静态双向维度的威胁发现。
检测示例
4月12日,微软发布了最新的Windows补丁,我们关注到一个内核提权漏洞CVE-2023-28252,该漏洞被标记为在野利用,即在真实攻击场景中被利用。通过该漏洞,攻击者能够从用户态权限直接提升到系统权限。
在对此内核提权漏洞关联分析过程中,安恒在线云沙盒发现了另外一个疑似在野样本,该样本伪装为国外知名软件公司的软件组件,使用了一个未验证通过的签名,并通过CryptOne进行了加壳。种种迹象表明该漏洞已被实战化利用。
安恒信息沙盒引擎通用内核提权检测框架能够对其进行检测,用户可以通过以下链接查看效果:
https://sandbox.dbappsecurity.com.cn
如图所示,样本在检测环境中执行提权操作被成功检测。
通过动态检测规则,我们发现样本执行后,用户权限从低权限提升到system权限。
另外,样本在漏洞利用过程中利用失败触发蓝屏,也能命中规则成功检测。
安恒信息多款产品支持检测
明御APT攻击预警平台
安恒信息明御APT攻击预警平台内置虎鲸沙箱有效支持对Windows内核提权0day/1day的检测,虎鲸沙箱采用业界首创“鲸吞”Windows容器技术,创新性地应用轻量级资源隔离技术,突破windows部署限制,实现单虚拟机多任务并行分析,成倍提高动态分析效率,具有行为捕获能力强、反逃逸能力突出的特点。
终端安全及防病毒系统(EDR)
安恒EDR已更新相应检测策略,使用安恒EDR的用户能够发现全局终端存在的漏洞情况并支持自动修复,也可以通过安恒EDR客户端一键扫描、修复相关漏洞。
处置建议
鉴于该漏洞影响范围较广,建议所有用户及时安装更新补丁:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:1、点击“开始菜单”或按Windows快捷键,点击进入“设置”2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)3、选择“检查更新”,等待系统将自动检查并下载可用更新4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的4月补丁并安装:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
得点赞+关注,关注微信公众号菜鸟学渗透,获取最新文章