2023年操作系统十大漏洞:以远见超越未见的硬核盘点

发表时间: 2024-01-09 13:08

2023年,高危漏洞数量呈延续增长趋势,各种系统和设备都爆出不同程度的新漏洞,给使用者和企业带来了巨大的风险。山石网科安全技术研究院选择了2023年十个具有代表性的操作系统漏洞,范围涵盖了目前市面上几款主流操作系统(排名不代表先后),重点考虑漏洞的影响范围和利用技术的创新度,包括了在野利用的漏洞及破解大赛上使用过的某些漏洞,供大家参考学习:

一.CVE-2023-21752

Windows Backup Service 提供Windows 设备上的备份和还原功能,经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。成功利用此漏洞需要攻击者赢得竞争条件,利用方式也是采用了oplock对目标文件和文件夹进行访问监控,最终将一个越权的文件操作转化为代码执行。

二.CVE-2023-21746

Windows NTLM 权限提升漏洞,又名”LocalPotato”。该漏洞允许拥有低权限的用户通过NTLM反射获得特权用户身份验证上下文,并利用SMB协议在任意位置写入文件,结合其他的一些利用技巧可在目标系统上以SYSTEM权限执行任意代码。

三.CVE-2023-29360

Windows 多媒体框架服务中的组件Microsoft Kernel Streaming Server (mskssrv.sys) 中数据验证不当,访问用户提供的值作为指针时缺少验证,导致未经身份验证的本地攻击者可以利用此漏洞将权限提升至SYSTEM,该漏洞也是今年在pwn2own上使用的漏洞,可以在用户空间映射任意的内核空间地址,品相非常好,不需要内核信息泄露就能直接进行提权。

四.CVE-2023-29336

该漏洞存在于Windows Win32k组件中,类型为释放后重用漏洞,成功利用此漏洞可以提升权限至SYSTEM或造成系统崩溃,此漏洞已存在在野利用。win32k组件一直是windows中存在漏洞较多的位置,目前微软正在使用rust语言重写该组件。

五.CVE-2023-35359

Windows 内核权限提升漏洞(CVE-2023-35359),由于Windows发生未处理的异常时,程序将尝试唤醒Windows错误报告(WER)服务进行日志记录和分析。当唤醒失败时,故障收集程序将创建一个WerFault.exe子进程来收集程序特定的信息。当故障程序是模拟当前用户的特权进程时,攻击者可以使用伪造的DOS设备映射来劫持进程创建,并以高完整性执行任意代码,最终实现权限提升,该漏洞虽然在wer服务中进行提权操作,但是漏洞的位置却是在ntoskrnl中。

六.CVE-2023-36802

另外一个存在于Windows 多媒体框架服务中的组件 mskssrv.sys 中的类型混淆漏洞,通过该漏洞,具有低权限的本地攻击者可以在越界内存上执行流对象操作,从而在内核中执行恶意代码,最终可以将权限提升至SYSTEM,该漏洞已发现在野利用。

七.CVE-2023-38606

Apple kernel 安全特性绕过漏洞,攻击者使用恶意应用程序利用该漏洞能够修改敏感的内核状态,从而可能控制设备。此漏洞影响范围较大,且已发现在野利用。

八.CVE-2023-0266

Linux 内核 ALSA 驱动中的竞争条件漏洞,可从系统用户访问,并为攻击者提供内核读写的访问权限。该漏洞是因为 ALSA 驱动程序于 2017 年被重构时更新了 64 位的函数调用而忽略了对 32 位函数调用的更新,从而将竞争条件引入了32位兼容层。Google TAG 在3月份发布报告称,针对最新版的三星Android手机的间谍活动中,该漏洞被作为包含多个 0-day 和 n-day 漏洞的利用链的一部分。

九.CVE-2023-20963

Android Framework 漏洞,成功利用可以导致本地权限升级,且利用该漏洞不需要用户交互。CISA于2023年4月对该漏洞发出警告称,Android Framework 包含一个未指明的漏洞,该漏洞允许在将应用更新到更高的目标 SDK 后提升权限,而无需额外的执行权限。该漏洞已被某应用程序利用以进行提权,成功提权后,该恶意应用程序可以阻止用户卸载、欺骗和引诱用户、广泛收集用户的隐私信息、窃取竞争应用程序的信息。

十.CVE-2023-35674

Android Framework 漏洞,由于代码中的逻辑错误,在 WindowState.java 的 onCreate 方法中存在可能导致后台活动启动的方式,允许攻击者在无需用户交互或额外执行权限的情况下提升权限。多家制造商(三星、一加等)已经发布了更新的补丁,已知该漏洞影响多个 Android 版本,包括11、12、12L和13。2023年9月的 Android 安全公告中提及,有迹象表明 CVE-2023-35674 可能会遭到攻击者有针对性的受限利用。