数字经济的安全基石
AI智能体专区
AI智能体专区业内首个落地的自主安全智能体(AI Agent),预置数百个原子级安全智能体,革命性采用任务驱动多智能体协同模式。
恒脑安全智能体以硬核实力为网络安全、数据安全保驾护航。让工具更睿智,让知识更智慧,让安全更智能!
AI安服数字员工融合人工智能与网络安全的专业服务体系,为企业提供全方位的Al安全咨询、威胁检测、安全运营等一站式解决方案,让安全防护更智能、更高效、更可靠。
全生命周期安全防护,智能体驱动效能提升,场景化联动管控。
多云一体、融合安全、闭环运营
多场景应用提升安全运营能力
安全态势感知与管控
全方位守护工业信息网络安全
AI数据分类分级,让分类分级快人一步!
HVV利器,即日起,免费试用三个月!
有效实现数据“供得出、流得动、用得好、保安全”的数据流通利用基础设施
7×24 小时全维度托管模式实现企业网络安全无忧化管理,全方位满足企业业务安全运行与合规监管的双重需求。
构建大模型全生命周期防护架构,强化多维度安全能力
对本地AI服务提供者开展日常监督、备案审查工作
智算全栈安全方案,算网安协同,合规高效
监控感知应急全套流程的安全监管机制
一站式意识教育解决方案
行业解决方案
技术解决方案
全生命周期安全防护,智能体驱动效能提升,场景化联动管控。
多云一体、融合安全、闭环运营
多场景应用提升安全运营能力
安全态势感知与管控
全方位守护工业信息网络安全
AI数据分类分级,让分类分级快人一步!
HVV利器,即日起,免费试用三个月!
有效实现数据“供得出、流得动、用得好、保安全”的数据流通利用基础设施
7×24 小时全维度托管模式实现企业网络安全无忧化管理,全方位满足企业业务安全运行与合规监管的双重需求。
场景解决方案
构建大模型全生命周期防护架构,强化多维度安全能力
对本地AI服务提供者开展日常监督、备案审查工作
智算全栈安全方案,算网安协同,合规高效
监控感知应急全套流程的安全监管机制
安全意识教育解决方案
一站式意识教育解决方案
今天,请各位技术大咖、极客大佬们一起围观——安恒信息捕获的Windows内核提权1day。其漏洞利用的精湛手法、通用适配性和使用的稳定性不输于我们之前捕获的CVE-2021-1732等在野0day;因此,这依然是一个高价值样本,进一步证明了安恒信息猎影实验室在Windows内核提权样本狩猎方面的业界领先能力。
这里也提醒相关组织机构,最近注意防范此类Windows内核提权漏洞。
01
事情是这样开始的
2021年10月16日,安恒信息威胁情报中心猎影实验室捕获一个Windows内核提权漏洞样本,经过仔细分析和研判,我们确认该样本为一个Windows内核提权1day样本,漏洞编号为CVE-2021-36955。
由于相关样本适配了Windows7到Windows10 20H2的各种环境,鉴于情况的严重性,安恒威胁情报中心猎影实验室对此次事件中涉及的1day漏洞进行了分析,并生成了《CVE-2021-36955Windows内核提权在野1day样本分析报告》。
02
看报告,一起烧脑
1、认出它
报告中,基于此次捕获漏洞样本的位置、补丁修复情况、漏洞的利用代码成熟度字段等,看猎影实验室如何推断出漏洞编号为CVE-2021-36955?
2、攻击分析
本次所捕获的样本运行稳定,且适配了多种操作系统,看该样本可以在哪些操作系统版本中进行内核提权(均为64位环境)?
3、漏洞利用细节
判断当前操作系统版本
➡创建PipeAttribute属性
➡解释任意地址读取方式
➡构造出任意地址读取原语
➡获取当前进程的Token地址
➡获得当前进程EPROCESS指针
➡完成提权创建子进程
➡完成整个漏洞利用过程
03
防范建议
1、升级安恒APT攻击预警平台,从流量预防该漏洞被利用的风险。
2、升级明御主机安全及管理系统EDR,及时加固与防护终端。
3、部署本地化安恒威胁情报平台(TIP),获取最新威胁情报及分析报告,实时发现未知威胁。
码上预约
前100名可获取完整版报告
立即体验恒脑安全智能体 
立即解锁AI安服数字员工 
<i id='c7087'><strike id='dc77e'><tt id='1ac20'><pre id='97e98'></pre></tt></strike></i>