Windows 零日漏洞如何被利用数月之久(CVE-2024-43451)

最新推荐文章于 2025-03-03 18:02:21 发布
最新推荐文章于 2025-03-03 18:02:21 发布
阅读量1k 收藏 6
点赞数 9
分类专栏: 网络研究观 文章标签: windows 微软 系统 漏洞
本文链接:https://blog.csdn.net/qq_29607687/article/details/143783382
版权

ClearSky 的研究人员透露,CVE-2024-43451 是一个 Windows 零日漏洞,微软于2024 年 11 月补丁星期二发布了修复程序,但该漏洞至少自 2024 年 4 月起就已被利用。

关于漏洞

CVE-2024-43451 影响所有受支持的 Windows 版本,当触发时,会向攻击者泄露用户的 NTLMv2 哈希,攻击者可以使用它来发起哈希攻击或从哈希中提取用户的密码。

两种情况的结果相同:攻击者可以以用户身份向目标系统进行身份验证。

CVE-2024-43451 被利用

ClearSky 研究人员在乌克兰计算机紧急响应小组 (CERT-UA) 的帮助下,拼凑出了这次发生在 2024 年 6 月的攻击事件。

该名(疑似俄罗斯)攻击者入侵了乌克兰学术服务器,以便能够向特定目标发送可信的鱼叉式网络钓鱼电子邮件。该电子邮件要求收件人通过附加链接更新其学术证书。

当受害者点击时,会下载一个 ZIP 文件,其中包含两个文件:一个带有毕业文凭的诱饵 PDF 文件,以及一个使用 SMB 协议指向外部服务器的 URL(互联网快捷方式)文件。

右键单击文件或尝试删除它或将其拖到另一个文件夹会触发 CVE-2024-43451 的利用。用户的 NTLMv2 哈希被传递给攻击者,并用于执行传递哈希攻击并建立与攻击者服务器的连接。

最后,当从服务器下载并执行冒充证书的 EXE 文件时,它会显示一条诱饵消息,指出该证书已被激活,并在后台删除导致安装和执行 SparkRAT 恶意软件的其他文件。

其他利用该漏洞的攻击?

对 URL 文件的分析显示,自 4 月初以来,已向 VirusTotal 提交了类似结构的文件:

CVE-2024-43451 被利用

利用 CVE-2024-43451 的其他类似结构的 URL 文件(来源:ClearSky)

这些文件的名称表明该漏洞曾在类似的攻击场景中被利用,使用 Redline 信息窃取程序攻击其他组织。

研究人员表示,这种相似性有两种可能的解释:要么是一个攻击者使用了不同类型的恶意软件,要么是两个不同的威胁行为者利用了同一个漏洞。

该怎么办?

ClearSky 的研究人员解释了如何创建利用 CVE-2024-43451 的文件,并指出该漏洞在 Windows 10/11 操作系统上比在旧版本上更容易被利用。

他们发现:“在 Windows 7、8 和 8.1 上,文件在拖动或删除时不会启动通信,除非目标文件夹在拖动时处于打开状态(第一次尝试时不会发生这种情况,但尝试 2-3 次后才会出现这种情况)。”

微软已发布针对 CVE-2024-43451 的补丁,并建议 Windows 和 Windows Server 用户尽快实施。

系统安全】Windows 远程桌面授权服务(RDL)远程代码执行漏洞CVE-2024-38077)
李火火的安全圈
08-14 889
Windows远程桌面授权服务(RDL)是一个用于管理远程桌面服务许可证的组件,确保对远程桌面连接的合法性。该服务被广泛部署于开启了Windows远程桌面服务(3389端口)的服务器上,但漏洞利用不是通过3389端口,需要先连接135端口发送访问请求,然后服务器给出一个连接RDL服务的动态高端口,再连接访问,如果服务器对外不开放135端口则不可利用
[漏洞挖掘与防护] 03.漏洞利用之WinRAR安全缺陷复现(CVE-2018-20250)及软件自启动分析
杨秀璋的专栏
08-26 605
上一篇文章将详细介绍MS08-067远程代码执行漏洞CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞利用445端口,并通过Metasploit工具获取shell及进行深入的操作。这篇文章将详细讲解WinRAR漏洞CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。基础性文章,希望对入门的同学有帮助。
CVE-2024-34351 漏洞复现
Jay17的博客
07-10 2178
CVE-2024-34351 漏洞复现
什么是0day漏洞,1day漏洞和nday漏洞
最新发布
ewii12567的博客
03-03 1518
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。,通常就是指还,也就是已经。这种漏洞危害巨大,因此也深得黑客的喜爱。通常0-day漏洞被公开后,都会引起广泛关注,相关厂商也需要紧急评估并尽快推出补丁,因为利用0-day漏洞进行的会很快随之而来。今年5月,微软紧急公开了已经被用于野外攻击的 Microsoft Windows 支持诊断工具 (MSDT)
CVE-2024-23940 恶意软件代理 EXE
qq_63278311的博客
02-05 1455
信任有漏洞的软件的用户可能会面临意想不到的风险,因此企业必须加强产品的安全性,以维护用户的信任,确保有效防御不断复杂化的网络威胁。DLL 代理的利器:我们深入探讨了为何选择 DLL 代理,并在 Visual Studio Code 中执行了相关操作,从提取函数一直到最终 DLL 编译。漏洞利用和市场上的防病毒软件:研究人员的研究重点在于分析市场上的防病毒软件,特别是那些需要购买的程序,但是这些问题并不是只存在于商业软件中。5. 在“C/C++”->“代码生成”->“运行时库”中,选择“多线程(/MT)”。
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
IronmanJay
05-17 1万+
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
OpenSSH RCE (CVE-2024-6387) | 附poc | 小试
Lucky小小吴的小屋
07-02 7192
OpenSSH 远程代码执行漏洞(CVE-2024-6387),该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用漏洞在Linux系统上以root身份执行任意代码。
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
wangluo12138的博客
02-02 955
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
QYbudong的博客
09-04 4403
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
[系统安全] 二十二.PE数字签名之()微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
降级攻击可“复活”数以千计的 Windows 漏洞
leyang0910的博客
08-15 456
在本周举行的黑帽大会(Black Hat 2024)上,安全研究员Alon Leviev曝光了一个微软Windows操作系统的“超级漏洞”,该漏洞使得攻击者可以利用微软更新进程实施降级攻击,“复活”数以千计的微软Windows漏洞,即便是打满补丁的Windows11设备也将变得千疮百孔,脆弱不堪。
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 9066
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
CVE-2024-2961:将phpfilter任意文件读取提升为远程代码执行(RCE)
小司机的奥拓
06-06 3032
在nvd网站上是这样描述的:谷歌翻译过来就是:GNU C 库 (也就是glibc)2.39 及更早版本中的 iconv() 函数在将字符串转换为 ISO-2022-CN-EXT 字符集时,可能会使传递给它的输出缓冲区溢出最多 4 个字节,这可能会导致应用程序崩溃或覆盖相邻变量。缓冲区溢出是二进制安全研究领域里很常见的漏洞。所谓缓冲区溢出是指当一段程序尝试把更多的数据放入一个缓冲区,数据超出了缓冲区本身的容量,导致数据溢出到被分配空间之外的内存空间,使得溢出的数据覆盖了其他内存空间的数据。
CVE-2024-38077漏洞复现及修复(无坑版教程)
热门推荐
weixin_61782918的博客
08-13 1万+
微软超高危“狂躁许可”漏洞CVE-2024-38077的检测及修复过程
等保二级和等保三级有啥区别?零基础入门到精通,看这篇就够了!赶紧收藏!
baimao__Ch的博客
02-14 919
等保二级的信息系统被定义为一般重要的信息系统,其受保护的对象通常是一些普通的商业信息或社会服务系统。根据国家标准 GB/T 22240-2020《信息安全技术 网络安全等级保护基本要求》,等保二级系统的损害可能会对社会秩序、公共利益或公民合法权益产生较小影响。举例来说:某中小型企业的财务管理系统。普通学校的教务管理系统。某些地方政府的小型网站。等保三级的信息系统被定义为重要的信息系统,其受保护的对象一般是涉及国家安全、经济命脉、重要公共利益或社会秩序的重要信息和服务。
【kernel exploit】CVE-2024-1086 nftables UAF漏洞-Dirty Pagedirectory利用方法
panhewu9919的博客
05-10 6706
本文的利用方法参考了,改进该方法后用于提权,并引入了一些实用的利用技巧(例如TLB flushing)。基于Dirty Pagedirectory技术(页表混淆),从用户层实施内核空间镜像攻击(KSMA脏页目录技术能够对物理内存进行无限制、稳定的读写。还能通过设置权限flag来绕过权限检查,这样就能写入只读页面,例如覆写。本节以 PUD+PMD方法来阐释原理,POC中采用的是PMD+PTE策略。总体思路:利用Double-Free等漏洞将PUD和PMD分配到同一地址。
hvv在即,我们整理了 2024 年部分勒索漏洞清单
FreeBuf_的博客
05-08 1978
可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?威胁者可向用户发送恶意文件并诱导用户打开文件来利用漏洞,成功利用可能导致绕过 SmartScreen安全功能。
微软最新WiFi远程代码执行漏洞CVE-2024-30078)探究
小司机的奥拓
07-08 3299
微软在六月的安全更新中,修复了一个WiFi驱动的漏洞漏洞描述的攻击场景吸引了很多人的注意:在近源的场景下,攻击者通过发送WiFi数据包来发动攻击。这篇漏洞公告一石激起千层浪:‒ 有人声称以5000美元出售漏洞的PoC;‒ 国内技术论坛上对漏洞的讨论和猜测,如12;‒ 以及github上流传的各种假PoC。首推,被国内营销号各种转发。它一开始声称漏洞原因是SSID溢出,直到广大网友在issues中质疑无法复现,才承认自己只是在尝试复现漏洞,并删光了之前所谓对漏洞原理的描述。
2024年网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1576
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值