社区编辑申请
注册/登录
Windows 0 day漏洞影响所有Windows版本
安全 黑客攻防
微软发布了CVE-2021-34484 Windows用户配置服务权限提升漏洞的安全补丁。补丁发布后,安全研究人员Naceri 发现该补丁并没有完全修复该漏洞,可以使用新的漏洞利进行绕过。

研究人员发现新的Windows 0day权限提升漏洞,影响所有Windows 版本。

8月,微软发布了CVE-2021-34484 Windows用户配置服务权限提升漏洞的安全补丁。补丁发布后,安全研究人员Naceri 发现该补丁并没有完全修复该漏洞,可以使用新的漏洞利进行绕过。

在之前的CVE-2021-34484漏洞分析中,用户可以滥用用户配置服务来创建第二个junction(连接)。但ZDI安全公告和微软补丁中,都将该漏洞看做是任意目录删除目录。微软只是修复了该漏洞的表象,但没有解决本质问题。研究人员通过修改之前的PoC漏洞利用仍然可以实现权限提升。

该漏洞利用要求攻击者知道另外一个用户的用户名和密码,但是并不像其他权限提升漏洞那么严重。CERT/CC漏洞分析师Dormann测试了该漏洞,发现该漏洞利用并不是每次都能成功创建提权的命令行。BleepingComputer研究人员测试该漏洞后,成功启动了提权的命令行窗口:

漏洞利用以system权限启动命令行

目前,关于该漏洞的好消息是漏洞利用需要攻击者知道另一个用户的用户名和密码才能触发该漏洞,所以可能并不会广泛应用于攻击活动中。坏消息是该漏洞影响所有的Windows版本,包括Windows 10、Windows 11和Windows server 2022等最新的Windows版本。

关于该0 day漏洞的技术分析参见:https://github.com/klinix5/ProfSvcLPE/blob/main/write-up.docx

漏洞利用PoC参见:https://github.com/klinix5/ProfSvcLPE/tree/main/DoubleJunctionEoP

本文翻译自:https://www.bleepingcomputer.com/news/security/all-windows-versions-impacted-by-new-lpe-zero-day-vulnerability/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-06-20 13:34:46

漏洞网络攻击

2022-06-14 23:34:10

Linux安全服务器

2022-06-20 14:57:50

漏洞安全威胁

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-09 06:57:53

Windows 10Windows 11微软

2022-03-30 09:09:39

漏洞网络安全网络攻击

2022-06-22 09:19:55

HDC鸿蒙ADB命令

2022-06-09 18:04:46

网络攻击网络安全

2022-05-26 07:18:54

Windows 11RTM22H2

2022-06-28 12:14:02

DockerLinux

2022-06-17 11:24:52

2022-04-26 23:42:08

Windows 10微软升级

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-15 14:40:54

英特尔漏洞

2022-06-04 14:43:31

Windows 10出厂设置重装

2022-05-10 06:01:17

Windows 11微软操作系统

2022-06-06 14:32:36

2022-06-07 17:08:51

WizTreewindows工具

2022-05-12 10:58:34

Wine 7.8Linux游戏

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护乌克兰遭网络攻击近800次

编辑推荐

DDos攻击解析T级攻击态势下解析DDOS高防IP系统架构2019 HackerOne黑客报告:白帽收入最高竟是普通程序员的40倍利用静态分析加固开源入侵检测系统(IDS)的最佳实践如何利用fBox算法检测隐蔽性强的欺诈用户
我收藏的内容
点赞
收藏

51CTO技术栈公众号