卡巴斯基在微软 Win32K 内核中发现“MysterySnail”零日漏洞

卡巴斯基在微软 Win32K 内核中发现“MysterySnail”零日漏洞
微软本周周二推出了2021 年 10 月补丁。我们已经介绍了一般版本,包括修复 Win32K 中正在被广泛利用的零日漏洞。这个错误足够严重,值得仔细研究。这就是为什么卡巴斯基在昨天发表的一篇博客文章中这样做的原因。

该安全公司将漏洞利用称为 MysterySnail,它是由其一名研究人员发现的。卡巴斯基此前已将该漏洞告知微软,因此该公司在本周的补丁星期二汇总中进行了修复。

在 Microsoft Windows 平台中发现的这种零日漏洞允许威胁行为者创建特权攻击升级以控制 Windows 服务器。MysterySnail 似乎是来自中文黑客的高级持续威胁 (APT) 的扩展。

通过跟踪漏洞利用,卡巴斯基发现了一种新型的远程访问木马(RAT)。这个想法是利用漏洞进入易受攻击的服务器并帮助攻击者窃取数据。作为 10 月补丁星期二的一部分,微软已经推出了一个补丁。这意味着用户应该安装更新以避免成为受害者。

卡巴斯基报告称“此漏洞的根本原因在于能够设置用户模式回调并在执行这些回调期间执行意外的 API 函数,”该博客解释说。“CVE-2021-40449 在函数ResetDC 在其自身回调的执行过程中为同一句柄第二次执行时被触发。”

攻击

发生这种情况时,会出现一条内存痕迹,导致已销毁的主动数据容器 (PDC)。黑客可以使用损坏的 PDC 调用任意内核函数。然后攻击者可以在内核内存上读写。通过使用已知技术,下一步将是泄漏内核地址。

研究人员指出:“恶意软件本身并不是很复杂,其功能与许多其他远程 shell 相似。” “但它仍然以某种方式脱颖而出,具有相对大量的已实现命令和额外功能,例如监控插入的磁盘驱动器以及充当代理的能力。”

正文完
 0