文章简要描述
针对Windows错误报告服务本地权限提升漏洞(CVE-2023-36874)进行漏洞复现,包括复现过程中的环境搭建、如何实现poc构建、以及改漏洞在实际场景下的检测建议、漏洞利用的主要行为分析以及相关的规则提取等内容。
漏洞背景
背景知识
Windows错误报告服务(Windows Error Reporting,简称WER)是Microsoft Windows操作系统中的一个功能,它可以在系统发生错误或崩溃时收集错误信息并报告给Microsoft。它的目的是为了收集和分析系统错误数据,以便改进操作系统的稳定性和可靠性。
当系统遇到错误或应用程序崩溃时,WER会自动收集错误信息,包括错误类型、错误代码、发生错误的应用程序或模块、相关的系统文件等。然后,WER可以匿名地向Microsoft发送这些错误信息,以帮助Microsoft了解和解决操作系统的问题。
漏洞介绍
Windows错误报告服务在提交错误报告前会创建wermgr.exe进程,攻击者可以使用特殊手法欺骗操作系统实现创建伪造的wermgr.exe进程,从而实现以system权限执行代码。
漏洞影响范围
操作系统 版本号
Windows