CVE-2023-36802 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Microsoft Streaming Service (MSKSSRV.sys) 存在**类型混淆**漏洞。 💥 **后果**：攻击者可利用此漏洞实现**本地权限提升 (LPE)**，从普通用户直接获取 **SYSTEM** 最高权限。

🔍 **CWE**：CWE-416 (Use After Free / 类型混淆)。 🛠 **缺陷点**：内核流服务代理在处理对象时存在**类型混淆**，导致内存操作异常，可被利用覆盖关键数据（如 `PreviousMode`）。

📦 **受影响组件**：Windows 10 Version 1809。 💻 **具体版本**： - 32位系统 - x64 系统 - ARM64 系统 *(注：PoC 显示 Windows 11 22H2 也可能受影响)*

👑 **权限**：从**低权限用户**提升至 **SYSTEM** 权限。 📂 **数据**：完全控制受影响的进程，可读取、修改任意内存数据，甚至持久化控制整个系统。

⚡ **门槛**：**中等**。 🔑 **条件**： - **本地访问**：攻击者需已在目标机器上拥有**本地账户**。 - **无需交互**：不需要用户点击或UI交互 (UI:N)。 - **低复杂度**：攻击复杂度低 (AC:L)。

💣 **有现成 Exp**：**是**。 🔗 **资源**：GitHub 上已有多个 PoC/Exploit（如 chompie1337, 4zur-0312 等）。 🌍 **在野利用**：Google Project Zero 和 IBM X-Force 已分析过**在野利用**案例，属于“临界零日”级别。

🔎 **自查方法**： 1. 检查系统是否安装了 **MSKSSRV.SYS** 驱动。 2. 确认 Windows 版本是否为 **1809** 或相关受影响版本。 3. 使用漏洞扫描工具检测内核驱动漏洞特征。

🛡️ **官方修复**：**已发布补丁**。 📅 **发布时间**：2023年9月12日。 🔗 **链接**：Microsoft Security Response Center (MSRC) 已提供更新指南，建议立即安装最新安全补丁。

⚠️ **无补丁规避**： 1. **限制本地访问**：严格控制本地管理员权限，防止普通用户登录。 2. **最小化服务**：禁用不必要的流媒体服务组件。 3. **网络隔离**：防止攻击者获得初始本地立足点。

🔥 **优先级**：**极高 (Critical)**。 📌 **建议**： - CVSS 评分高 (C:H, I:H, A:H)。 - 已有**在野利用**和**公开 Exp**。 - **立即行动**：尽快为 Windows 10 1809 及可能受影响的系统安装安全更新！