【安全资讯】Windows内核模式驱动特权提升漏洞CVE-2024-35250的PoC利用代码发布

概要：

近期，安全研究员Angelboy (@scwuaptx) 对CVE-2024-35250漏洞进行了深入分析，该漏洞使攻击者能够在Windows系统中获得SYSTEM权限。此漏洞影响Windows内核模式驱动，并在2024年Pwn2Own温哥华比赛中被广泛关注，因其严重性而引发了广泛讨论。

主要内容：

CVE-2024-35250的CVSS评分为7.8，允许通过操控IOCTL_KS_PROPERTY请求实现特权提升。根据Microsoft的说明，成功利用此漏洞的攻击者可以完全控制受影响的系统。该漏洞存在于ks.sys驱动程序的属性请求处理过程中，具体而言，当提供KSPROPERTY_TYPE_UNSERIALIZESET标志时，攻击者可以发起一系列操作，最终导致任意IOCTL调用。

Angelboy指出，“我们现在拥有一个原语，可以执行任意IOCTL_KS_PROPERTY操作”，这使得该漏洞成为特权提升攻击的主要目标。一旦实现任意调用，利用该漏洞变得相对简单，攻击者可以利用合法函数执行任意写入，从而替换进程令牌，获得SYSTEM级别的权限。

然而，成功利用该漏洞并非易事，攻击者需要绕过多个安全措施，如内核控制流保护（kCFG）、地址空间布局随机化（ASLR）和监督模式执行防护（SMEP）。DEVCORE团队通过研究发现，RtlSetAllBits函数是绕过这些保护的可行选项。尽管在受控环境中成功执行了该利用代码，但在Hyper-V上的Windows 11 23H2虚拟机中测试时却遭遇失败，原因在于Hyper-V默认不包含音频设备，这对于触发该漏洞是必需的。为此，Microsoft在2024年6月的补丁星期二更新中修复了这一关键漏洞，强烈建议组织和用户更新系统以降低风险。