声明
本篇文章仅用于漏洞复现与技术学习,切勿将文中涉及攻击手法用于非授权下渗透攻击行为,出现任何后果与本文章作者无关,切记!!!
一、漏洞背景
Ancillary Function Driver for WinSock (简称afd) 是 Windows系统网络部分的核心工具,Windows中所有socket文件的操作都是通过afd来完成的,例如创建、销毁、读写等。
二、漏洞描述
该漏洞是一个权限提升漏洞。经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。
三、漏洞成因
由于应用程序没有正确地在 Windows Ancillary Function Driver for WinSock中施加安全限制,从而导致本地攻击者绕过安全限制,将权限提升至SYSTEM。
四、影响范围
- Windows 11 Version 22H2 for x64-based Systems
- Windows 11 Version 22H2 for ARM64-based Systems
- Windows 11 version 21H2 for ARM64-based Systems
- Windows 11 version 21H2 for x64-based Systems
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
五、漏洞复现
测试环境
系统下载地址:https://next.itellyou.cn/
漏洞验证POC(GITHUB有公开源码)
地址:https://github.com/HKxiaoli/Windows_AFD_LPE_CVE-2023-21768
这里直接使用编译好的程序进行验证
可提升为 nt authority\system 权限!!!
六、修复建议
windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
- 1、点击 "开始菜单" 或按Windows快捷键,点击进入 "设置"
- 2、进入 "Windows更新"
- 3、选择 "检查更新" ,等待系统将自动检查并下载可用更新
- 4、重启计算机,安装更新
系统重新启动后,可通过进入"Windows更新" -> "查看更新历史记录" 查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击 "Microsoft 更新目录",然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的安全补丁并安装:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2023-21768
