一、漏洞概要
二、漏洞分析
2.1 组件介绍
Microsoft Windows操作系统是美国微软公司研发的一套操作系统,因其易用性成为了当前应用最广泛的操作系统。
2.2 漏洞描述
2021年6月28日,深信服安全团队监测到一则Windows组件存在信息泄漏漏洞的信息,漏洞编号:CVE-2021-31955
该漏洞是 ntoskrnl.exe 中的一个信息泄漏漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据,最终造成服务器敏感性信息泄漏。
2.3 漏洞分析
该漏洞与Windows操作系统的一个特征SuperFetch有关。SuperFetch是在Windows Vista中引入的,旨在通过预加载常用的应用到内存中来减少软件的加载时间。函数NtQuerySystemInformation 实现了一个非常特殊的系统信息类——SystemSuperfetchInformation。该系统信息类包含了多个不同的SuperFetch信息类。漏洞就存在于NtQuerySystemInformation 函数返回的 SuperFetch信息类SuperfetchPrivSourceQuery中包含当前执行的进程的EPROCESS kernel 地址。
2.4 漏洞复现
搭建Windows 10 1909 x64 18363.1316环境,复现该漏洞,效果如下:
三、影响范围
Windows 是当今最流行、市场占有率最高的操作系统,其影响力不言而喻。
目前受影响的Windows版本:
Windows 10 21h1/20h2/1809/1909/2004
Windows Server 2016 20h2/2004
Windows Server 2019
四、解决方案
4.1修复建议
1. 如何检测组件系统版本
Win+r 输入 winver
2.官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。在 Windows Update 中获取更新即可。