CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞,由 Kaspersky,Mandiant,DBAPPSecurity WeBin Lab 在野发现,成功利用此漏洞能获得 system 权限,发现时其已被用于 Nokoyawa 勒索软件攻击。漏洞信息发布后 360 沙箱云团队第一时间对该漏洞进行了复现与分析,并就此漏洞触发路径和指令...
通过分析以上的利用代码可以发现,该漏洞在利用上和之前的CVE-2022-36979有很多类似的地方,关键在于通过漏洞疑似修改了container pointer,在该漏洞中container pointer疑似被指向0x5000000,攻击通过布局0x5000000,依赖以下工具函数实现任意地址写入,这里同样和CVE-2022-36979类似,但是,该工具链中增加了函数: PoFxProcessorNotifi...
红雨滴团队的《CVE-2023-28252在野提权漏洞样本分析》文章详细的分析了恶意文件并定位到漏洞触发点,但由于文章的主要目的是分析恶意文件而非讲解漏洞成因,因此漏洞成因方面的内容偏少。该文的主要内容是分析clfs.sys内的函数,以了解漏洞触发过程。由于笔者刚入门,如果文章出...
通过分析以上的利用代码可以发现,该漏洞在利用上和之前的CVE-2022-36979有很多类似的地方,关键在于通过漏洞疑似修改了container pointer,在该漏洞中container pointer疑似被指向0x5000000,攻击通过布局0x5000000,依赖以下工具函数实现任意地址写入,这里同样和CVE-2022-36979类似,但是,该工具链中增加了函数: PoFxProcessorNotifi...
网络安全 5月1日,《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准正式实施。 零零信安 202270围观2023-06-14 福昕Foxit PDF远程代码执行漏洞CVE-2023-27363分析与复现 漏洞 漏洞分析与复现。 盛邦安全WebRAY 310341围观·42023-06-14...
1. Do: `use windows/local/cve_2023_28252_clfs_driver` 1. Set the `SESSION` and `PAYLOAD` options 1. Do: `run` 1. You should get a privileged session. ## Scenarios ### Windows Server 2022 Build 20348 x64 ``` msf6 exploit(multi/handler) > use windows/local/cve_2023_28252_clfs...
[1]https://github.com/fortra/CVE-2023-28252 [2]https://ti.qianxin.com/blog/articles/CVE-2023-28252-Analysis-of-In-the-Wild-Exploit-Sample-of-CLFS-Privilege-Escalation-Vulnerability/
Kaspersky has disclosed[1]that the 0day vulnerability CVE-2023-28252 is an out-of-bounds write (increment) vulnerability, which can be exploited to obtain system privileges in Windows when the target system attempts to extend a metadata block. The exploitation process sta...
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞,由 Kaspersky,Mandiant,DBAPPSecurity WeBin Lab 在野发现,成功利用此漏洞能获得 system 权限,发现时其已被用于 Nokoyawa 勒索软件攻击。漏洞信息发布后 360 沙箱云团队第一时间对该漏洞进行了复现与分析,并就此漏洞触发路径和指令...
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞,由 Kaspersky,Mandiant,DBAPPSecurity WeBin Lab 在野发现,成功利用此漏洞能获得 system 权限,发现时其已被用于 Nokoyawa 勒索软件攻击。漏洞信息发布后 360 沙箱云团队第一时间对该漏洞进行了复现与分析,并就此漏洞触发路径和指令...