【技术分析】剖析WinSock 的 Windows 辅助功能驱动程序特权提升漏洞(CVE-2023-21768)
2023-3-10 17:41:36 Author: 赛博昆仑CERT(查看原文) 阅读量:67 收藏

-赛博昆仑漏洞技术分析-

WinSock 的 Windows 辅助功能驱动程序特权提升漏洞
(CVE-2023-21768)

概述

Microsoft Windows Ancillary Function Driver for WinSock是美国微软(Microsoft)公司开发WinSock 的 Windows 辅助功能驱动程序,是Windows系统网络部分的核心系统文件。
近日,赛博昆仑监测到WinSock 的 Windows 辅助功能驱动程序特权提升的漏洞情报,攻击者可以在普通用户权限的条件下通过执行特制程序来利用此漏洞,从而在目标系统上以SYSTEM权限执行任意代码,实现权限提升。2023年3月9日,该漏洞利用代码有人在GitHub上进行公开。
影响版本

向上滑动阅览

Windows 11 Version 22H2 for x64-based Systems 系统版本小于 22621.1105

Windows 11 Version 22H2 for ARM64-based Systems 系统版本小于 22621.1105

Windows 11 version 21H2 for ARM64-based Systems 系统版本小于 22000.1455

Windows 11 version 21H2 for x64-based Systems 系统版本小于 22000.1455

Windows Server 2022 (Server Core installation) 系统版本小于 20348.1487

Windows Server 2022 系统版本小于 20348.1487

技术分析
利用条件

该漏洞利用需要在上述影响版本的机器上使用普通用户权限运行编译好的漏洞程序,然后系统就会以SYSTEM权限执行任意代码,实现权限提升,该漏洞利用非常稳定。

相关细节

该漏洞存在于afd.sys驱动程序中,该驱动位于C:\Windows\System32\drivers目录下,漏洞可以向指定内核地址写入1,这里分析的afd.sys版本为10.0.22621.608,漏洞具体写入的地方如下:

调用栈如下所示:
利用代码首先泄露出PIORING_OBJECT的地址,然后利用漏洞向这个结构的某些字段写入1,结合Windows 11 22H2+上特有的I/O Ring利用手法实现任意地址读写,最终修改EPROCESS结构实现权限提升,这种利用手法适用于Windows 11 22H2+的版本。
复现环境

Windows 11 x64 (22H2 22621.963)

复现详情
1. 首先cmd运行whoami命令查看当前用户是否为普通用户,尝试在c盘目录下创建文件显示拒绝访问,表示当前用户即为普通用户,因为此操作需要管理员权限
2. 使用任务管理器查看当前cmd进程的PID,该PID漏洞利用程序需要用到
3. 利用获取到的进程PID作为参数运行该漏洞利用程序
4. 漏洞利用程序运行成功之后,运行whoami命令显示当前用户为 system用户,即漏洞触发完成,提权成功,权限从普通用户转变为系统用户。

赛博昆仑CERT复现截图如下:

修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

联系邮箱:[email protected]

公众号:赛博昆仑CERT

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21768
https://github.com/xforcered/Windows_LPE_AFD_CVE-2023-21768


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483960&idx=1&sn=3a87cc9e694695986ed9a03233f460b9&chksm=c12affb9f65d76af1d557e893ac87d4ee669e27e87a98aad8df7b0f88b90f856090151a39ea4#rd
如有侵权请联系:admin#unsafe.sh