Windows错误报告服务本地权限提升漏洞(CVE-2023-36874)

于 2024-09-29 21:06:22 发布
阅读量121 收藏
点赞数
分类专栏: 漏洞复现 分析 检测 文章标签: CVE-2023-36874 漏洞分析 漏洞复现 漏洞检测 Windows错误报告
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/142643341
版权

文章简要描述

针对Windows错误报告服务本地权限提升漏洞(CVE-2023-36874)进行漏洞复现,包括复现过程中的环境搭建、如何实现poc构建、以及改漏洞在实际场景下的检测建议、漏洞利用的主要行为分析以及相关的规则提取等内容。

漏洞背景

背景知识

Windows错误报告服务(Windows Error Reporting,简称WER)是Microsoft Windows操作系统中的一个功能,它可以在系统发生错误或崩溃时收集错误信息并报告给Microsoft。它的目的是为了收集和分析系统错误数据,以便改进操作系统的稳定性和可靠性。
当系统遇到错误或应用程序崩溃时,WER会自动收集错误信息,包括错误类型、错误代码、发生错误的应用程序或模块、相关的系统文件等。然后,WER可以匿名地向Microsoft发送这些错误信息,以帮助Microsoft了解和解决操作系统的问题。

漏洞介绍

Windows错误报告服务在提交错误报告前会创建wermgr.exe进程,攻击者可以使用特殊手法欺骗操作系统实现创建伪造的wermgr.exe进程,从而实现以system权限执行代码。

漏洞影响范围
操作系统							版本号
Windows
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Psy_Hacker
关注
专栏目录
订阅专栏
CVE-2020-0796:CVE-2020-0796-Windows SMBv3 LPE攻击#SMBGhost
03-19
这个漏洞,也被称作“SMBGhost”或“CoronaBlue”,因其出现于2020年COVID-19大流行期间而得名,因为它可能导致远程代码执行(RCE)和本地权限提升(LPE)。 漏洞细节: SMBv3中的这个漏洞存在于协议处理过程中,具体是...
CVE-2023-36874 Windows错误报告服务本地权限提升漏洞分析
qq_41252520的博客
08-29 1986
Windows错误报告服务在提交错误报告前会创建wermgr.exe进程,而攻击者使用特殊手法欺骗系统创建伪造的wermgr.exe进程,从而以system权限执行代码。
Windows 远程桌面授权服务远程代码执行漏洞CVE-2024-38077)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-10 3969
开启该服务Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
CVE-2023-21768 Windows AFD 本地提权漏洞
【Rainbow Network Technology co., LTD】
08-23 863
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞
CVE-2023-36874 Windows错误报告服务漏洞复现(包含环境搭建,复现过程,技术分析,补丁分析
m0_46624929的博客
09-15 567
经过身份认证的本地攻击者可以构造恶意程序触发该漏洞,成功利用此漏洞可以提升权限至SYSTEM或造成系统崩溃。观察报错和程序运行情况,发现并没有成功写入,并执行wermgr.exe,该用户无读写权限Windows错误报告服务是一项用于收集和分析系统和应用程序错误的服务
[漏洞分析] 用chatGPT分析CVE-2023-0386 overlay内核提权
Breeze的博客
05-06 6820
使用chatGPT分析CVE-2023-0386
探索CallbackHell:利用CVE-2021-40449的本地权限提升漏洞
gitblog_00077的博客
05-22 393
探索CallbackHell:利用CVE-2021-40449的本地权限提升漏洞 CallbackHellExploit for CVE-2021-40449 - Win32k Elevation of Privilege Vulnerability (LPE)项目地址:https://gitcode.com/gh_mirrors/ca/CallbackHell 项目介绍 CallbackHel...
【域渗透提权】CVE-2020-1472 NetLogon 权限提升漏洞
做自己喜欢的事,并将其发挥到极致!
06-23 2433
本篇文章仅用于技术研究和学习,切勿利用文中提及手段非法渗透攻击,造成任何后果与本作者无关,切记!CVE-2020-1472 NetLogon 权限提升漏洞原因是未经身份认证的攻击者可通过使用NetLogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。Netlogon 是在活动目录中比较重要的一个服务,此服务在 DC 和域成员服务器上运行,为域身份验证提供重要服务。...
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1138
漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。
探索CVE-2018-8897:一个Windows本地权限提升漏洞
gitblog_00015的博客
04-20 408
探索CVE-2018-8897:一个Windows本地权限提升漏洞 CVE-2018-8897Arbitrary code execution with kernel privileges using CVE-2018-8897.项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2018-8897 项目简介 在上,我们可以找到一个名为CVE-2018-8897...
CVE-2018-8120-exp.zip_C++_CVE-2018-8120_cve_漏洞利用
09-23
**CVE-2018-8120详解:Windows LSA权限提升漏洞** CVE-2018-8120是一个针对Windows操作系统的安全漏洞,它属于本地权限提升(Local Security Authority Subsystem Service, LSA)漏洞类型。这个漏洞主要影响Windows...
前端初始化资源包初始化前端
10-01
.....................
vmware ubuntu22.04安装教程.docx
最新发布
10-01
vmware ubuntu22.04安装教程
语音处理相关的代码------matlab实现_______________开箱即用_soundProcess.zip
10-01
语音处理相关的代码------matlab实现_______________开箱即用_soundProcess
numpy-2.1.1-cp313-cp313t-macosx-14-0-x86-64.whl
10-01
numpy
用于用户故事分类的数据集_UserStoriesDataSet-.zip
10-01
用于用户故事分类的数据集_UserStoriesDataSet-
Java实现逻辑回归(对iris数据集分类)_LogisticRegression.zip
10-01
Java实现逻辑回归(对iris数据集分类)_LogisticRegression
berlin数据集的语音情感分类_Speech_emotion_recognition.zip
10-01
berlin数据集的语音情感分类_Speech_emotion_recognition
mysql安全漏洞CVE-2023-0215
07-29
很抱歉,但我无法回答关于"mysql安全漏洞CVE-2023-0215"的问题。因为在您提供的引用内容中,并没有提到与该漏洞相关的信息。如果您有其他关于该漏洞的引用内容或更多的背景信息,我将很乐意为您提供帮助。 #### 引用[.reference_title] - *1* *3* [CVE-2023-21839漏洞本地简单复现](https://blog.csdn.net/csdnmmd/article/details/129247272)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CVE-2023-0215](https://blog.csdn.net/qq_39933800/article/details/131203431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值