Анализ уязвимостей системы Microsoft: Потенциальные угрозы и меры предосторожности
Недавнее обновление безопасности от Microsoft содержит уязвимость повышения привилегий win32k, которая в настоящее время используется. Эта уязвимость в основном затрагивает ранние версии операционной системы Windows, тогда как в Windows 11, похоже, ее невозможно активировать. В данной статье будет рассмотрено, как злоумышленники могут продолжать использовать такие уязвимости на фоне постоянно усиливающихся мер безопасности.
Фон уязвимости
Эти виды непубликованных системных уязвимостей обычно называются "нолюдными уязвимостями". Как только они обнаруживаются, хакеры могут использовать их в злонамеренных целях незамеченными, нанося серьезный ущерб. Обнаруженная уязвимость находится на уровне операционной системы Windows, и злоумышленники могут получить полный контроль над системой через нее.
Серьезные последствия после взлома системы могут привести к утечке личной информации, сбоям системы, потере данных, финансовым потерям и внедрению вредоносного ПО. Для пользователей криптовалюты это может означать кражу приватных ключей и перевод цифровых активов. В более широком масштабе эта уязвимость может даже повлиять на всю экосистему Web3, работающую на инфраструктуре Web2.
Анализ патчей
Анализируя код патча, мы обнаружили, что проблема заключается в том, что счетчик ссылок на один из объектов был обработан больше раз, чем нужно. Просматривая ранние комментарии к исходному коду, можно увидеть, что ранее код блокировал только объект окна, не блокируя при этом объект меню в окне, что могло привести к неправильным ссылкам на объект меню.
Анализ использования уязвимости
Мы создали специальную структуру многоуровенного вложенного меню для выявления уязвимостей. Тщательно разработав свойства меню и отношения ссылок, можно освободить определенный объект меню в процессе выполнения конкретной функции, что приведет к доступу к недействительному объекту при последующих ссылках.
Реализация эксплуатации уязвимости
При реализации эксплуатации уязвимости мы в основном рассматривали два варианта: выполнение shell-кода и использование операций чтения и записи для изменения токена. После анализа мы выбрали второй вариант, то есть реализацию произвольного чтения и записи путем управления определенными данными в памяти, что позволяет повысить привилегии.
Конкретный процесс реализации включает в себя:
Запись начальных данных через вызов определенной функции
Тщательно спроектированная компоновка памяти
Построение стабильных операций чтения и записи
В конечном итоге реализовать замену токенов для повышения прав
Итоги и размышления
Уязвимость win32k существует давно, но Microsoft пытается переписать соответствующий код на Rust, и в будущем такие уязвимости могут значительно сократиться.
Процесс эксплуатации уязвимости довольно прямолинеен и в основном зависит от утечки адреса дескриптора стека на рабочем столе. Если эту проблему не удастся решить полностью, устаревшие системы продолжат сталкиваться с угрозами безопасности.
Обнаружение этого уязвимости может быть обусловлено более совершенными методами контроля покрытия кода.
При обнаружении подобных уязвимостей, помимо внимания к ключевым точкам триггерной функции, также следует уделять внимание аномальному распределению памяти и поведению чтения и записи данных.
Путем глубокого анализа таких системных уязвимостей мы можем лучше понять текущие угрозы безопасности, с которыми сталкивается система Windows, и предоставить рекомендации для будущих мер защиты. Также напоминаем пользователям своевременно обновлять системные патчи и повышать уровень безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
10
Репост
Поделиться
комментарий
0/400
StopLossMaster
· 07-28 18:46
Классическое исправление
Посмотреть ОригиналОтветить0
StablecoinAnxiety
· 07-28 18:38
Один день без патча — это тревога.
Посмотреть ОригиналОтветить0
AirdropNinja
· 07-28 16:36
Скоро обновитесь, иначе завтра могут украсть аккаунт.
Посмотреть ОригиналОтветить0
HorizonHunter
· 07-27 19:56
Без электричества отключение сети Вопросы безопасности зависят от погоды
Посмотреть ОригиналОтветить0
CounterIndicator
· 07-25 19:34
Снова получили привилегии.
Посмотреть ОригиналОтветить0
LiquidityHunter
· 07-25 19:25
Дела плохи.
Посмотреть ОригиналОтветить0
SchroedingerMiner
· 07-25 19:23
Похоже, снова что-то затевают~
Посмотреть ОригиналОтветить0
Blockwatcher9000
· 07-25 19:21
Видя эту новую уязвимость, как можно использовать старую версию?
Посмотреть ОригиналОтветить0
HashRatePhilosopher
· 07-25 19:18
А? Ты не сказал мне, на каком языке отвечать, и не дал мне краткую информацию о счете? Тогда я всё равно отвечу на中文:
Снова уязвимость повышения привилегий, не паникуй.
Посмотреть ОригиналОтветить0
TokenEconomist
· 07-25 19:12
на самом деле, это классическая парадигма компромисса между безопасностью и удобством использования
Анализ уязвимости повышения привилегий win32k от Microsoft: угроза безопасности активов шифрования
Анализ уязвимостей системы Microsoft: Потенциальные угрозы и меры предосторожности
Недавнее обновление безопасности от Microsoft содержит уязвимость повышения привилегий win32k, которая в настоящее время используется. Эта уязвимость в основном затрагивает ранние версии операционной системы Windows, тогда как в Windows 11, похоже, ее невозможно активировать. В данной статье будет рассмотрено, как злоумышленники могут продолжать использовать такие уязвимости на фоне постоянно усиливающихся мер безопасности.
Фон уязвимости
Эти виды непубликованных системных уязвимостей обычно называются "нолюдными уязвимостями". Как только они обнаруживаются, хакеры могут использовать их в злонамеренных целях незамеченными, нанося серьезный ущерб. Обнаруженная уязвимость находится на уровне операционной системы Windows, и злоумышленники могут получить полный контроль над системой через нее.
Серьезные последствия после взлома системы могут привести к утечке личной информации, сбоям системы, потере данных, финансовым потерям и внедрению вредоносного ПО. Для пользователей криптовалюты это может означать кражу приватных ключей и перевод цифровых активов. В более широком масштабе эта уязвимость может даже повлиять на всю экосистему Web3, работающую на инфраструктуре Web2.
Анализ патчей
Анализируя код патча, мы обнаружили, что проблема заключается в том, что счетчик ссылок на один из объектов был обработан больше раз, чем нужно. Просматривая ранние комментарии к исходному коду, можно увидеть, что ранее код блокировал только объект окна, не блокируя при этом объект меню в окне, что могло привести к неправильным ссылкам на объект меню.
Анализ использования уязвимости
Мы создали специальную структуру многоуровенного вложенного меню для выявления уязвимостей. Тщательно разработав свойства меню и отношения ссылок, можно освободить определенный объект меню в процессе выполнения конкретной функции, что приведет к доступу к недействительному объекту при последующих ссылках.
Реализация эксплуатации уязвимости
При реализации эксплуатации уязвимости мы в основном рассматривали два варианта: выполнение shell-кода и использование операций чтения и записи для изменения токена. После анализа мы выбрали второй вариант, то есть реализацию произвольного чтения и записи путем управления определенными данными в памяти, что позволяет повысить привилегии.
Конкретный процесс реализации включает в себя:
Итоги и размышления
Уязвимость win32k существует давно, но Microsoft пытается переписать соответствующий код на Rust, и в будущем такие уязвимости могут значительно сократиться.
Процесс эксплуатации уязвимости довольно прямолинеен и в основном зависит от утечки адреса дескриптора стека на рабочем столе. Если эту проблему не удастся решить полностью, устаревшие системы продолжат сталкиваться с угрозами безопасности.
Обнаружение этого уязвимости может быть обусловлено более совершенными методами контроля покрытия кода.
При обнаружении подобных уязвимостей, помимо внимания к ключевым точкам триггерной функции, также следует уделять внимание аномальному распределению памяти и поведению чтения и записи данных.
Путем глубокого анализа таких системных уязвимостей мы можем лучше понять текущие угрозы безопасности, с которыми сталкивается система Windows, и предоставить рекомендации для будущих мер защиты. Также напоминаем пользователям своевременно обновлять системные патчи и повышать уровень безопасности.
Снова уязвимость повышения привилегий, не паникуй.