江蘇
關鍵詞
漏洞
安全研究人員正日益聚焦通過兩大Windows攻擊面實現提權攻擊:內核驅動與命名管道。這些攻擊載體利用了用戶模式與內核模式間基礎信任邊界的弱點,使攻擊者能夠從標準用戶權限提升至SYSTEM級訪問。
內核驅動攻擊面
內核驅動由于IOCTL(輸入/輸出控制)處理例程中的輸入驗證不足,構成了顯著的本地提權(LPE)攻擊面。
在使用METHOD_BUFFERED模式的WDM驅動中,I/O管理器會分配內核緩沖區,但未在內核處理前驗證用戶提供的數據。這一關鍵缺陷使攻擊者能夠構造包含指針和長度值的惡意IOCTL請求,內核將在其地址空間內解析這些值。
完整的利用鏈包含三個關鍵階段:
階段描述1. 設備發現
識別用戶模式下可訪問的暴露設備名稱
2. IOCTL分析
使用IDA Pro等逆向工程工具分析IOCTL分發例程
3. 漏洞識別
定位可被利用的輸入驗證缺陷
通過將用戶輸入直接映射到MmMapIoSpace等危險內核函數,攻擊者可建立任意讀寫原語。這些原語支持令牌竊取攻擊——讀取SYSTEM進程令牌并將其寫入當前進程的EPROCESS結構,最終實現權限提升。
命名管道攻擊面
命名管道作為高權限SYSTEM服務常用的進程間通信機制,同樣構成高危攻擊載體。與內核驅動不同,命名管道通過基于消息的協議而非直接內存訪問運行,但服務應用程序往往對其存在隱式信任。
攻擊方法包括:識別ACL(訪問控制列表)權限過度開放(允許"Everyone"讀寫)的SYSTEM所屬命名管道,再通過靜態分析逆向工程管道協議。研究人員已發現多個服務未實施充分授權檢查便處理請求的案例,使得標準用戶能觸發HKLM注冊表修改等管理功能。
典型案例涉及某商業殺毒軟件,其安全防護不足的命名管道導致未授權注冊表操作。
攻擊者可借此配置映像文件執行選項(IFEO),在SYSTEM上下文中執行任意代碼。
防御建議
安全團隊應當:
審計第三方內核驅動的過度IOCTL權限
在內核處理前驗證所有用戶輸入
命名管道實現必須對敏感操作執行顯式權限檢查
實施嚴格的協議驗證
Hackyboiz研究顯示,企業需清點暴露的命名管道并禁用ACL權限過度的實例。
隨著Windows環境持續面臨復雜攻擊,理解這些提權載體對防御企業系統免受本地權限提升攻擊至關重要。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
