详细内容或原文请订阅后点击阅览
CVE-2024-38063 - 通过 IPv6 远程利用内核
对 CVE-2024-38063(Windows 内核 IPv6 解析器中的 CVSS 9.8 漏洞)进行根本原因分析并构建概念验证
来源:MalwareTech由于最新的Windows补丁在8月13日下降以来,我一直在TCPIP.Sys的杂草(负责处理TCP/IP包的内核驾驶员)的杂草中。一个9.8 CVSS得分的脆弱性在最容易达到的Windows kernel中,我可以从中脱颖而出。试图逆转这种脆弱性将是极具挑战性的,但是是一个很好的学习经验。
在大多数情况下,tcpip.sys在很大程度上没有证件。我能够找到一些针对较旧错误的漏洞写作:在这里,这里和这里,但几乎没有。当我的英语Google搜索的最佳搜索结果是用中文编写的,我立即知道我是从深度和糟糕的时间中走出来的,但是我们必须了解我们必须。尽管Google翻译工作平庸,但该帖子提供了一些令人难以置信的详细见解,了解IPv6碎片的工作原理,并为我提供了一个良好的开端。
在这里后来,在谷歌搜索一些功能名称时,我遇到了Axel Souchet(又名0VerCl0k)撰写的同一2021漏洞的另一项分析,该漏洞更深入地介绍了TCPIP.SYS的内部内容,并给了我足够的信息来定义几个无文档的结构。
对同一2021漏洞的另一项分析有史以来最简单的补丁分析
通常,即使是对补丁进行逆向工程,以找出哪些代码更改对应于漏洞可能需要几天甚至几周的时间,但是在这种情况下,这是即时的。事实上,社交媒体上的多个人告诉我我错了,这个错误在其他地方。我是否真的听着他们,然后浪费了一整天扭转错误的驾驶员?我们可能永远不会知道。
整个驱动程序文件中恰好有一个更改,事实证明,实际上是错误。
安装补丁前后的tcpip.sys的绑定概述。
ipv6pprocessoptions()补丁前。
ippsendErlist()
*