漏洞名称 : Windows 内核信息泄漏漏洞
组件名称 : Windows
影响范围 :
Windows 10 21h1/20h2/1809/1909/2004
Windows Server 2016 20h2/2004
Windows Server 2019
漏洞类型 : 信息泄漏
利用条件 :
1、用户认证:不需要用户认证
2、触发方式:远程
综合评价 :
1、用户认证:不需要用户认证
2、触发方式:本地
漏洞分析
1 组件****介绍
Microsoft Windows操作系统是美国微软公司研发的一套操作系统,因其易用性成为了当前应用最广泛的操作系统。
2 漏洞描述
2021年6月28日,深信服安全团队监测到一则Windows组件存在信息泄漏漏洞的信息,漏洞编号:CVE-2021-31955
该漏洞是 ntoskrnl.exe 中的一个信息泄漏漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据,最终造成服务器敏感性信息泄漏。
3 漏洞分析
该漏洞与Windows操作系统的一个特征SuperFetch有关。SuperFetch是在Windows Vista中引入的,旨在通过预加载常用的应用到内存中来减少软件的加载时间。函数NtQuerySystemInformation实现了一个非常特殊的系统信息类——SystemSuperfetchInformation。该系统信息类包含了多个不同的SuperFetch信息类。
漏洞就存在于NtQuerySystemInformation函数返回的SuperFetch信息类SuperfetchPrivSourceQuery中包含当前执行的进程的EPROCESS kernel 地址。
影响范围
Windows 是当今最流行、市场占有率最高的操作系统,其影响力不言而喻。
目前受影响的Windows版本:
Windows 10 21h1/20h2/1809/1909/2004
Windows Server 2016 20h2/2004
Windows Server 2019
解决方案
1 如何检测组件系统版本
Win+r 输入 winver
2 官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁,在 Windows Update 中获取更新即可。
时间轴
2021/6/28 深信服监测到Windows内核信息泄漏漏洞信息。
2021/6/28 深信服千里目安全实验室发布漏洞通告。