Windows Ancillary Function Driver for WinSock 权限提升漏洞(CVE-2023-21768)

简介: Windows Ancillary Function Driver for WinSock 存在权限提升漏洞

声明


本篇文章仅用于漏洞复现技术学习,切勿将文中涉及攻击手法用于非授权下渗透攻击行为,出现任何后果与本文章作者无关,切记!!!


一、漏洞背景


Ancillary Function Driver for WinSock (简称afd) 是 Windows系统网络部分的核心工具,Windows中所有socket文件的操作都是通过afd来完成的,例如创建、销毁、读写等。

二、漏洞描述


该漏洞是一个权限提升漏洞。经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限


三、漏洞成因


由于应用程序没有正确地在 Windows Ancillary Function Driver for WinSock中施加安全限制,从而导致本地攻击者绕过安全限制,将权限提升至SYSTEM


四、影响范围


  • Windows 11 Version 22H2 for x64-based Systems

  • Windows 11 Version 22H2 for ARM64-based Systems

  • Windows 11 version 21H2 for ARM64-based Systems

  • Windows 11 version 21H2 for x64-based Systems

  • Windows Server 2022 (Server Core installation)

  • Windows Server 2022


五、漏洞复现


测试环境


系统下载地址:https://next.itellyou.cn/

image.png

漏洞验证POC(GITHUB有公开源码)


地址:https://github.com/HKxiaoli/Windows_AFD_LPE_CVE-2023-21768

这里直接使用编译好的程序进行验证

image.png

可提升为 nt authority\system 权限!!!


六、修复建议


windows自动更新


Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:


  • 1、点击 "开始菜单" 或按Windows快捷键,点击进入 "设置"
  • 2、进入 "Windows更新"
  • 3、选择 "检查更新" ,等待系统将自动检查并下载可用更新
  • 4、重启计算机,安装更新


系统重新启动后,可通过进入"Windows更新" -> "查看更新历史记录" 查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击 "Microsoft 更新目录",然后在新链接中选择适用于目标系统的补丁进行下载并安装。


手动安装补丁


对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的安全补丁并安装:

https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2023-21768

目录
相关文章
|
2月前
|
监控 安全 虚拟化
降级攻击可“复活”数以千计的Windows漏洞
在本周举行的黑帽大会(Black Hat 2024)上,安全研究员Alon Leviev曝光了一个微软Windows操作系统的“超级漏洞”,该漏洞使得攻击者可以利用微软更新进程实施降级攻击,“复活”数以千计的微软Windows漏洞,即便是打满补丁的Windows11设备也将变得千疮百孔,脆弱不堪。
|
2月前
|
负载均衡 网络协议 安全
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞
|
2月前
|
开发框架 .NET API
Windows Server 2022 安装IIS 报错 访问临时文件夹 C:\WINDOWS\TEMP\3C 读取/写入权限 错误: 0x80070005
Windows Server 2022 安装IIS 报错 访问临时文件夹 C:\WINDOWS\TEMP\3C 读取/写入权限 错误: 0x80070005
81 0
|
3月前
|
安全 Windows
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
46 2
|
4月前
【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
|
3月前
|
安全 Windows
【项目问题解决】windows10 删除文件有完全控制权限 你需要权限来执行此操作
在Windows 10中遇到删除文件提示需管理员权限时,问题可能源于用户权限不足或文件夹权限设置。解决方法包括:右键文件→属性→安全→高级→更改所有者为管理员→保存设置→回到安全选项卡,选中管理员权限,勾选“完全控制”,确定保存。若仍无法删除,先尝试删除子文件,再删除文件夹。
107 0
|
5月前
|
监控 安全 网络协议
windows服务器权限分析
windows服务器权限分析
55 1
windows服务器权限分析
|
5月前
|
安全 Windows
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
60 0
|
5月前
|
安全 数据安全/隐私保护 Windows
Windows 命令提示符(CDM)操作(六):安全和权限
Windows 命令提示符(CDM)操作(六):安全和权限
|
安全 测试技术 数据安全/隐私保护
CVE-2022-21999 Windows Print Spooler(打印服务)特权提升漏洞
2021年6⽉29⽇,安全研究⼈员在GitHub上公开了CVE-2021-1675 Windows Print Spooler远程代码执⾏漏洞的PoC。该漏洞是Microsoft 6⽉星期⼆补丁⽇中公开的⼀个RCE漏洞,其存在于管理打印过程的Print Spooler (spoolsv.exe) 服务中,会影响所有 Windows系统版本。
112 1
下一篇
无影云桌面