Allbet官网(www.aLLbetgame.us):Chrome 0 day破绽行使链

皇冠体育APP

www.huangguan.us)是一个开放皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠登录APP下载的体育平台。皇冠体育APP上最新登录线路、新2皇冠网址更新最快。皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

,

研究职员发现一起行使Chrome和Windows 系统0 day破绽的攻击行使链。

2021年4月14日,Kaspersky研究职员检测到针对多个公司的定向攻击流动。进一步剖析发现,这些攻击流动都行使谷歌Chrome和微软Windows 的0 day破绽攻击行使链。研究职员发现并剖析了用于沙箱逃逸和获得权限提升的破绽行使。

该权限提升破绽行使可以在最新的Windows 10(17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2) 版本上事情,而且行使了微软Windows操作系统内核的两个差异破绽。破绽CVE编号为CVE-2021-31955和CVE-2021-31956。

远程代码执行破绽行使

所有的攻击流动都是通过Chrome浏览器执行的。虽然研究职员无法获取破绽行使的JS代码,然则研究职员凭证相关攻击流动的时间轴推测出了行使的破绽——CVE-2021-21224。此外,研究职员还推测攻击者使用JS文件以及正则测试来开发破绽行使,并用于攻击流动。

权限提升破绽行使

CVE-2021-31955

CVE-2021-31955破绽是ntoskrnl.exe中的一个信息泄露破绽。该破绽与Windows操作系统的一个特征SuperFetch有关。SuperFetch是在Windows Vista中引入的,旨在通过预加载常用的应用到内存中来削减软件的加载时间。以是,函数NtQuerySystemInformation 实现了一个异常特殊的系统信息类——SystemSuperfetchInformation。系统信息类包罗了多个差其余SuperFetch信息类。破绽就存在于NtQuerySystemInformation 函数返回的 SuperFetch信息类SuperfetchPrivSourceQuery中包罗当前执行的历程的EPROCESS kernel 地址。

CVE-2021-31955 破绽存在的MemInfo工具源码

CVE-2021-31956

CVE-2021-31956破绽是 ntfs.sys中的一个堆缓存溢露马脚。函数NtfsQueryEaUserEaList会处置该文件的一系列扩展属性,并保留提取的值到缓存中。该函数可以通过ntoskrnl syscall系统挪用接见,并可以控制输出缓存的巨细。若是扩展属性的巨细纷歧致,函数就会盘算填充,并把下一个扩展属性保留为32位。有代码会检查输出缓存是否足以知足扩展属性+填充,然则该检查的代码并没有检查可能存在的证书下溢。因此,基于堆的缓存溢出就发生了。

Allbet官网

欢迎进入Allbet官网(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

NtfsQueryEaUserEaList函数伪代码

破绽行使使用CVE-2021-31955破绽来获取EPROCESS结构的kernel地址,可以使用相同的行使手艺来窃取SYSTEM token。然则破绽行使使用了很少见的“PreviousMode” 手艺。

恶意软件模块

除了之条件到的破绽行使外,完整的攻击链中包罗4个恶意软件模块,划分是:

· Stager

· Dropper

· Service

· Remote shell

Stager

Stager模块是用来通知破绽行使乐成的。此外,该模块还会从远处服务器下载和执行庞大的恶意软件释放器模块。每个stager 模块都市有受害者的设置信息,包罗C2 URL、session ID、解密下一阶段恶意软件的秘钥等。

研究职员发现所有stager模块样本都使用了相同的URL地址来下载加密的恶意软件释放器模块——hxxps://p{removed}/metrika_upload/index.php。

Dropper

释放器模块是用来安装伪装成正当Windows操作系统文件的可执行文件。其中一个文件 %SYSTEM%\WmiPrvMon.exe 注册为服务,用作第二个可执行文件的启动器。第二个可执行文件具有远程shell功效,可以看做是攻击流动的主要payload。现在还没有发现该模块与其他已知也软件的相似之处。

Remote shell

远程shell模块硬编码了C2服务器的URL。所有客户端与C2服务器之间的通讯都是经由认证和加密的。远程shell模块可以下载和上传文件、确立历程、休眠特准时间、将自己从被黑的机械上删除等。

微软已经在6月的微软补丁修复了这两个平安破绽。

更多手艺细节参见:https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/

本文翻译自:https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/

  • 评论列表:
  •  新2足球网址
     发布于 2021-07-09 00:03:08  回复
  • 皇冠APP必备好文之一了~

    •  皇冠官网平台
       发布于 2021-07-31 18:49:54  回复
    • 3、厘清界线,有所为有所不为,并让相助车厂信托。这需要频频说,也需要在详细行动中体现。华为明确“不造车”,并频频强调,但却推出华为智选赛力斯在华为天下自有营业厅卖,再加上此前华为多个从“不进入”到“进入”的战略调整,很难不让车企担忧。不错,太实在了

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。