首頁 > 關于我們 > 安恒動態 > 2023 > 正文

【支持檢測】微軟CVE-2023-28252內核提權漏洞風險通告

閱讀量：次 文章來源：安恒信息

微軟內核提權0day漏洞

4月12號，微軟發布了最新的漏洞補丁程序，此次公告中的內核提權漏洞CVE-2023-28252，由安恒信息、卡巴斯基及Mandiant公司同時捕獲，這也是安恒信息成功捕獲的第4枚在野內核提權0day！

據衛兵實驗室專家分析，該漏洞影響Windows 7，Windows 8.1， Windows 10，Windows 11等操作系統和以及Windows Server 2008，Windows Server2012，Windows Server 2016，Windows Server 2019、Windows Server 2022等服務器版本，受影響范圍較為廣泛。

在此，也提醒相關部門和廣大廠商近期注意防范此類Windows內核提權漏洞。目前，安恒信息多款產品已具備該漏洞檢測能力。

“

內核提權0day檢測

0day/1day作為高級威脅攻擊武器庫中的重要戰略武器，有著很高的價值，能夠在攻擊的關鍵環節起到關鍵作用。

特權提升，作為攻擊者滲入后核心目標之一，能夠以更大的權限訪問、控制目標對象，其通常利用系統弱點、錯誤配置、漏洞等方式。

內核提權漏洞利用可以使攻擊者從用戶態低權限穿透到內核態高權限，從而完整的掌握被控電腦資源。

安恒信息沙盒引擎基于內核提權流程、表現效果、關鍵證據等行為考量，制定了一套通用檢測解決方案，能夠不基于特定漏洞，以通用模式即可檢測出內核提權。

因此，無論是0day/1day內核提權漏洞，安恒信息沙盒引擎都能夠進行輕松檢測。在面臨內核提權0day安全威脅時，核心檢測模塊無需升級、無需額外策略即可做到檢測。

同時，安恒信息沙盒引擎還能通過動靜態安全策略檢測、機器學習行為檢測等模塊對此威脅進行動態、靜態雙向維度的威脅發現。

檢測示例

4月12日，微軟發布了最新的Windows補丁，我們關注到一個內核提權漏洞CVE-2023-28252，該漏洞被標記為在野利用，即在真實攻擊場景中被利用。通過該漏洞，攻擊者能夠從用戶態權限直接提升到系統權限。

在對此內核提權漏洞關聯分析過程中，安恒在線云沙盒發現了另外一個疑似在野樣本，該樣本偽裝為國外知名軟件公司的軟件組件，使用了一個未驗證通過的簽名，并通過CryptOne進行了加殼。種種跡象表明該漏洞已被實戰化利用。

安恒信息沙盒引擎通用內核提權檢測框架能夠對其進行檢測，用戶可以通過以下鏈接查看效果：

https://sandbox.dbappsecurity.com.cn

如圖所示，樣本在檢測環境中執行提權操作被成功檢測。

通過動態檢測規則，我們發現樣本執行后，用戶權限從低權限提升到system權限。

另外，樣本在漏洞利用過程中利用失敗觸發藍屏，也能命中規則成功檢測。

“

安恒信息多款產品支持檢測

明御APT攻擊預警平臺

安恒信息明御APT攻擊預警平臺內置虎鯨沙箱有效支持對Windows內核提權0day/1day的檢測，虎鯨沙箱采用業界首創“鯨吞”Windows容器技術，創新性地應用輕量級資源隔離技術，突破windows部署限制，實現單虛擬機多任務并行分析，成倍提高動態分析效率，具有行為捕獲能力強、反逃逸能力突出的特點。

終端安全及防病毒系統（EDR）

安恒EDR已更新相應檢測策略，使用安恒EDR的用戶能夠發現全局終端存在的漏洞情況并支持自動修復，也可以通過安恒EDR客戶端一鍵掃描、修復相關漏洞。

“

處置建議

鑒于該漏洞影響范圍較廣，建議所有用戶及時安裝更新補?。?/span>

Windows自動更新

Windows系統默認啟用 Microsoft Update，當檢測到可用更新時，將會自動下載更新并在下一次啟動時安裝。還可通過以下步驟快速安裝更新：1、點擊“開始菜單”或按Windows快捷鍵，點擊進入“設置”2、選擇“更新和安全”，進入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”，步驟為“控制面板”-> “系統和安全”->“Windows更新”）3、選擇“檢查更新”，等待系統將自動檢查并下載可用更新4、重啟計算機，安裝更新

系統重新啟動后，可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新，可以點擊該更新名稱進入微軟官方更新描述鏈接，點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”，然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。

手動安裝補丁

另外，對于不能自動更新的系統版本，可參考以下鏈接下載適用于該系統的4月補丁并安裝：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

\ | /

★

此前，安恒信息中央研究院已捕獲3個微軟內核提權0day漏洞，此次捕獲新的Windows內核提權0day，再一次證明了中央研究院在漏洞挖掘、風險識別及防御體系構建方面仍占據世界領先地位。

未來，中央研究院將持續以打造國際一流的安全企業研究院為目標，肩負著安恒信息研究與創新前沿的重任，面向數字經濟時代，洞悉技術發展趨勢與重大機會、推進原子化安全能力建設、打造創新應用場景、提升工程技術效能，為安恒信息高質量、高增長發展持續注入源動力，使安恒信息成為數字經濟時代的安全屏障！

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>