作者:ze0r @360A-TEAM
公眾號:360安全監測與響應中心
相關閱讀:[下篇]從補丁diff到EXP–CVE-2018-8453漏洞分析與利用
在本篇文章中,我們將對CVE-2018-8453(Windows win32kfull.sys內核提權漏洞)進行深入分析。
因國內外各大安全公司和平台主觀和客觀上的各種原因,該漏洞的技術分析一直模糊不清,甚至帶有故意的錯誤,為還原真實,我們以漏洞為主,卡巴斯基的分析文章為輔進行分析。現將分析過程和利用對外分享發布,以供學習參考。
前言
CVE-2018-8453漏洞是一個Windows內核提權漏洞,由卡巴斯基官方於野外發現用於APT中攻擊中東地區國家。在微軟發布了更新補丁后,卡巴斯基也於第二天發布了關於這個漏洞的更加詳細的分析,但仍然諱莫如深,以及多個故意錯誤(可能是因為卡巴斯基擔心該漏洞可能被作為Nday利用)。此外,國內兩大安全平台關於該漏洞的描述文章,也為谷歌直接翻譯。故意錯誤加上翻譯錯誤,讓人無法清楚的知道該漏洞的原理和利用。
為了還原真實,我們以直面漏洞為主、卡巴分析文章為輔的方式對該漏洞進行分析和學習。
相關鏈接:
微軟官方的補丁和漏洞簡介可以看鏈接:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8453
卡巴斯基的分析文章鏈接:https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
正文內容
下載該漏洞的單獨補丁用bindiff與歷史補丁進行查看,可發現主要變化如下(新舊變化主要用上一個補丁日的win32k.sys來比較,下同):