Kolide Agent 权限升级(Windows,版本 >= 1.5.3,< 1.12.3)(CVE-2024-54131)
CVE编号
CVE-2024-54131
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Kolide Agent(也称为Launcher)是与Kolide服务配合工作的轻量级代理。在Kolide Agent(也称为“launcher”)中存在一个实现漏洞,该漏洞允许在Windows 10和11上本地权限提升到SYSTEM用户。该漏洞是在版本1.5.3引入的,当时launcher开始将升级后的二进制文件存储在ProgramData目录中。移至新目录意味着launcher根目录继承了不如以前位置严格的默认权限。这些错误的默认权限与启动时省略的SystemDrive环境变量(当launcher启动osqueryd时)相结合,使得能够访问本地Windows设备的恶意攻击者能够成功地将任意DLL放入osqueryd进程的搜索路径中。在某些情况下,当osqueryd执行WMI查询时,这个DLL将被执行。这一连串的事件然后可能允许攻击者将他们的权限提升到SYSTEM。受影响的版本包括版本>= 1.5.3,并且已在1.12.3中发布修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/kolide/launcher/pull/1510
https://github.com/kolide/launcher/security/advisories/GHSA-66q9-2rvx-qfj5
CVE-2024-54131丨Kolide Agent 权限升级(Windows,版本 >= 1.5.3,< 1.12.3)
小助手
这个人很懒,什么都没留下
文章评论