Win32k本地提權(quán)漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 未知
  • CVE編號(hào):CVE-2021-26900
  • 漏洞類型: 權(quán)限提升
  • 威脅類型:本地
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時(shí)間:2021-05-24
  • 更新時(shí)間:2021-05-24

漏洞簡(jiǎn)介

1、組件介紹

Win32k 是Windows子系統(tǒng)的內(nèi)核模式部分,向用戶代碼提供了大量的系統(tǒng)服務(wù),也跟Windows內(nèi)核緊密接觸。通過向內(nèi)核注冊(cè)一組出調(diào)(Callout)函數(shù),介入內(nèi)核的線程和進(jìn)程管理等處理邏輯中。

2、漏洞描述

2021年5月14日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則Win32k組件存在提權(quán)漏洞的信息,漏洞編號(hào):CVE-2021-26900,漏洞威脅等級(jí):高危。


該漏洞是由于將

CInteractionTrackerBindingManagerMarshaler中的

new_entry_id設(shè)置為0時(shí)

DirectComposition::CInteractionTrackerBindingManagerMarshaler::RemoveBindingManagerReferenceFromTrackerIfNecessary函數(shù)刪除該對(duì)象的綁定但并不刪除該對(duì)象,再次將new_entry_id置為非零并釋放資源對(duì)象,當(dāng)channel被提交后該對(duì)象將再次被綁定,即成功觸發(fā)UAF,攻擊者可利用該漏洞在低權(quán)限的情況下提升權(quán)限,最終獲得系統(tǒng)最高權(quán)限。

漏洞公示

暫無

參考網(wǎng)站

暫無

受影響實(shí)體

Win32k存在于所有的Windows系統(tǒng)中,Windows系統(tǒng)作為當(dāng)下最流行、使用最為廣泛的操作系統(tǒng),在全球各個(gè)地區(qū)都有相當(dāng)大的使用量,中美兩國(guó)是使用Windows系統(tǒng)最多的兩個(gè)國(guó)家。


目前受影響的Win32k版本:

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows Server, version 1909 (Server Core installation)

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

補(bǔ)丁

1、如何檢測(cè)組件系統(tǒng)是否安裝該補(bǔ)丁

打開cmd.exe輸入:

systeminfo | findstr “KB5000802”

2、官方修復(fù)建議

當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁。鏈接如下:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26900


打補(bǔ)丁方法:

選擇操作系統(tǒng)對(duì)應(yīng)的版本,下載相應(yīng)的補(bǔ)丁后安裝即可。