CVE-2023-36874 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Windows Error Reporting (WER) 组件存在权限提升漏洞。 💥 **后果**：攻击者可利用此漏洞从低权限提升至高权限（如 SYSTEM），完全控制受影响系统。

🔍 **CWE**：CWE-59（符号链接跟随问题）。 📍 **缺陷点**：WER 组件在处理错误报告时存在逻辑缺陷，允许攻击者通过特定手段绕过安全限制。

🏢 **厂商**：Microsoft（微软）。 💻 **受影响产品**：Windows 10 Version 21H2 (32-bit & ARM64)。 ⚠️ **注意**：数据中也提及 Windows 10 Version 1809，建议全面排查。

🔓 **权限**：本地权限提升 (LPE)。 👑 **能力**：从普通用户提升至 SYSTEM 权限。 📂 **数据**：可访问、修改或删除系统中的任何数据，安装恶意软件，创建新账户。

🔑 **认证**：需要本地认证 (PR:L)。 🎯 **攻击向量**：本地 (AV:L)。 ⚡ **复杂度**：低 (AC:L)。 👤 **用户交互**：无需用户交互 (UI:N)。 📉 **总结**：只要能在目标机器上执行代码，利用门槛极低。

💣 **PoC 存在**：GitHub 上有多个公开的 Proof of Concept (PoC)。 🛠️ **工具**：包括 C++ 源码、Cobalt Strike BOF 等。 🌍 **在野**：CrowdStrike 等厂商已确认存在在野利用风险。

🔎 **自查方法**： 1. 检查 Windows 版本是否为 21H2 或 1809。 2. 监控 WER 相关进程 (wermgr.exe) 的异常行为。 3. 使用支持该 CVE 的漏洞扫描器进行扫描。

🛡️ **官方修复**：微软已发布安全更新 (MSRC 链接已提供)。 ✅ **建议**：立即通过 Windows Update 安装最新补丁。

🚧 **临时规避**： 1. 禁用 WER 服务（不推荐，影响系统稳定性）。 2. 严格限制本地用户权限，防止未授权代码执行。 3. 部署 EDR 监控异常进程提升行为。

🔥 **优先级**：高 (CVSS 8.8)。 ⏳ **紧急度**：⚠️ 需立即行动。 💡 **建议**：由于无需用户交互且 PoC 公开，建议优先修补受影响的关键服务器和工作站。