Ancillary Function Driver for WinSock,是 Windows 系统网络部分的核心工具。Windows 中所有 socket 文件的操作,如创建、销毁、读写等,都是通过 该驱动来完成的。
近日,奇安信CERT监测到Windows Ancillary Function Driver for WinSock 权限提升漏洞EXP已在互联网公开。Windows Ancillary Function Driver for WinSock 中存在权限提升漏洞,经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。此漏洞仅影响Windows 11和Windows Server 2022。目前,奇安信CERT已复现此EXP。经验证,此EXP中的利用方式仅适用于Windows 11 22H2,此EXP稳定有效。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
漏洞名称 | Windows Ancillary Function Driver for WinSock 权限提升漏洞 | ||
公开时间 | 2023-01-10 | 更新时间 | 2023-03-09 |
CVE编号 | CVE-2023-21768 | 其他编号 | QVD-2023-1888 |
威胁类型 | 权限提升 | 技术类型 | 任意指针解引用 |
厂商 | Microsoft | 产品 | Windows |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
已公开 | 已公开 | 未知 | 未公开 |
漏洞描述 | Windows Ancillary Function Driver for WinSock 中存在权限提升漏洞,经过身份认证的本地攻击者可通过在目标系统上运行特制程序利用此漏洞来获得 SYSTEM 权限。此漏洞仅影响 Windows 11 和 Windows Server 2022。 | ||
影响版本 | Windows 11 Version 22H2 for x64-based Systems Windows 11 Version 22H2 for ARM64-based Systems Windows 11 version 21H2 for ARM64-based SystemsWindows 11 version 21H2 for x64-based SystemsWindows Server 2022 (Server Core installation)Windows Server 2022 |
目前,奇安信CERT已在Windows 11 22H2上成功复现此漏洞,截图如下:
威胁评估
漏洞名称 | Windows Ancillary Function Driver for WinSock权限提升漏洞 | |||
CVE编号 | CVE-2023-21768 | 其他编号 | QVD-2023-1888 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 7.8 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
本地 | 低 | |||
所需权限(PR) | 用户交互(UI) | |||
低权限 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不改变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
高 | 高 | |||
危害描述 | 经过身份认证的本地攻击者可利用此漏洞提升至SYSTEM 权限。此漏洞仅影响 Windows 11 和 Windows Server 2022。 |
处置建议
微软于2023年1月补丁日修复了此漏洞,使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、进入“Windows更新”
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的安全补丁并安装:
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2023-21768
参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21768
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。