• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 操作系統
  • -
    • Win32k本地提權漏洞
    • CNNVD編號:未知
    • 危害等級: 未知
    • CVE編號:CVE-2021-26900
    • 漏洞類型: 權限提升
    • 威脅類型:本地
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-05-24
    • 更新時間:2021-05-24

    漏洞簡介

    1、組件介紹

    Win32k 是Windows子系統的內核模式部分,向用戶代碼提供了大量的系統服務,也跟Windows內核緊密接觸。通過向內核注冊一組出調(Callout)函數,介入內核的線程和進程管理等處理邏輯中。

    2、漏洞描述

    2021年5月14日,深信服安全團隊監(jiān)測到一則Win32k組件存在提權漏洞的信息,漏洞編號:CVE-2021-26900,漏洞威脅等級:高危。


    該漏洞是由于將

    CInteractionTrackerBindingManagerMarshaler中的

    new_entry_id設置為0時

    DirectComposition::CInteractionTrackerBindingManagerMarshaler::RemoveBindingManagerReferenceFromTrackerIfNecessary函數刪除該對象的綁定但并不刪除該對象,再次將new_entry_id置為非零并釋放資源對象,當channel被提交后該對象將再次被綁定,即成功觸發(fā)UAF,攻擊者可利用該漏洞在低權限的情況下提升權限,最終獲得系統最高權限。

    漏洞公示

    暫無

    參考網站

    暫無

    受影響實體

    Win32k存在于所有的Windows系統中,Windows系統作為當下最流行、使用最為廣泛的操作系統,在全球各個地區(qū)都有相當大的使用量,中美兩國是使用Windows系統最多的兩個國家。


    目前受影響的Win32k版本:

    Windows Server, version 20H2 (Server Core Installation)

    Windows 10 Version 20H2 for ARM64-based Systems

    Windows 10 Version 20H2 for 32-bit Systems

    Windows 10 Version 20H2 for x64-based Systems

    Windows Server, version 2004 (Server Core installation)

    Windows 10 Version 2004 for x64-based Systems

    Windows 10 Version 2004 for ARM64-based Systems

    Windows 10 Version 2004 for 32-bit Systems

    Windows Server, version 1909 (Server Core installation)

    Windows 10 Version 1909 for ARM64-based Systems

    Windows 10 Version 1909 for x64-based Systems

    Windows 10 Version 1909 for 32-bit Systems

    補丁

    1、如何檢測組件系統是否安裝該補丁

    打開cmd.exe輸入:

    systeminfo | findstr “KB5000802”

    2、官方修復建議

    當前官方已發(fā)布受影響版本的對應補丁,建議受影響的用戶及時更新官方的安全補丁。鏈接如下:

    https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26900


    打補丁方法:

    選擇操作系統對應的版本,下載相應的補丁后安裝即可。