【支持检测】微软CVE-2023-28252内核提权漏洞风险通告

“

内核提权0day检测

0day/1day作为高级威胁攻击武器库中的重要战略武器，有着很高的价值，能够在攻击的关键环节起到关键作用。

特权提升，作为攻击者渗入后核心目标之一， 能够以更大的权限访问、控制目标对象，其通常利用系统弱点、错误配置、漏洞等方式。

内核提权漏洞利用可以使攻击者从用户态低权限穿透到内核态高权限，从而完整的掌握被控电脑资源。

安恒信息沙盒引擎基于内核提权流程、表现效果、关键证据等行为考量，制定了一套通用检测解决方案，能够不基于特定漏洞，以通用模式即可检测出内核提权。

因此，无论是0day/1day内核提权漏洞，安恒信息沙盒引擎都能够进行轻松检测。在面临内核提权0day安全威胁时，核心检测模块无需升级、无需额外策略即可做到检测。

同时，安恒信息沙盒引擎还能通过动静态安全策略检测、机器学习行为检测等模块对此威胁进行动态、静态双向维度的威胁发现。

安恒信息沙盒引擎通用内核提权检测框架能够对其进行检测，用户可以通过以下链接查看效果：

https://sandbox.dbappsecurity.com.cn

“

安恒信息多款产品支持检测

“

处置建议

鉴于该漏洞影响范围较广，建议所有用户及时安装更新补丁：

Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：1、点击“开始菜单”或按Windows快捷键，点击进入“设置”2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”）3、选择“检查更新”，等待系统将自动检查并下载可用更新4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的4月补丁并安装：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

\ | /

★

此前，安恒信息中央研究院已捕获3个微软内核提权0day漏洞，此次捕获新的Windows内核提权0day，再一次证明了中央研究院在漏洞挖掘、风险识别及防御体系构建方面仍占据世界领先地位。

未来，中央研究院将持续以打造国际一流的安全企业研究院为目标，肩负着安恒信息研究与创新前沿的重任，面向数字经济时代，洞悉技术发展趋势与重大机会、推进原子化安全能力建设、打造创新应用场景、提升工程技术效能，为安恒信息高质量、高增长发展持续注入源动力，使安恒信息成为数字经济时代的安全屏障！