CVE-2024-35250 — 神龙十问 AI 深度分析摘要

🚨 **本质**：内核模式驱动中的**不受信任指针解引用**。 💥 **后果**：攻击者可利用此缺陷实现**权限提升**，从低权限用户直接跃升至内核级权限，彻底掌控系统。

🔍 **CWE**：**CWE-822** (Untrusted Pointer Dereference)。 📍 **缺陷点**：`ks.sys` 驱动在处理数据时，未正确验证指针来源，导致恶意构造的指针被内核直接解引用。

🖥️ **受影响产品**：**Microsoft Windows**。 📦 **具体版本**：**Windows 10 Version 1809** (涵盖 32位系统 和 x64-based 系统)。 ⚠️ 注意：仅针对该特定版本，其他版本需另行确认。

👑 **黑客能力**：**权限提升 (EoP)**。 📊 **CVSS评分**：**H/H/H** (机密性/完整性/可用性均为高)。 🔓 **结果**：获得 **SYSTEM/Kernel** 权限，可绕过所有用户层安全限制，窃取数据或植入持久化后门。

🚧 **利用门槛**：**中等**。 🔑 **前置条件**：需要 **本地访问 (AV:L)** 和 **低权限认证 (PR:L)**。 👤 **用户交互**：**无需用户交互 (UI:N)**。 💡 意味着攻击者只需在受害机器上拥有普通账号即可尝试利用。

🔥 **现成Exp**：**有！** 📂 **PoC**：GitHub 上已有 `varwara/CVE-2024-35250` 原始 PoC。 ⚔️ **武器化**：已有多个 **Cobalt Strike BOF** 实现 (如 `0xjiefeng`, `ro0tmylove`, `yinsel`)，可直接集成到红队工具中。 ✨ **优化版**：`Brentlyw/GiveMeKernel` 提供了精简优化版。

🔎 **自查特征**： 1. 检查系统版本是否为 **Windows 10 Version 1809**。 2. 检查 `ks.sys` 驱动文件版本是否未打补丁。 3. 监控是否有针对 `ks.sys` 的异常内核调用或权限提升行为。 🛠️ **工具**：可使用支持 CVE-2024-35250 的漏洞扫描器进行资产盘点。

🛡️ **官方修复**：**已发布**。 📅 **发布时间**：**2024-06-11**。 🔗 **来源**：Microsoft MSRC 已发布安全更新。 ✅ **建议**：立即通过 Windows Update 或手动下载补丁修复。

🚑 **临时规避**： 1. **隔离**：限制受影响主机的网络访问，防止内网横向移动。 2. **最小权限**：确保普通用户账号权限最小化，减少攻击面。 3. **监控**：重点监控本地权限提升事件和 `ks.sys` 相关活动。 ⚠️ 若无补丁，风险极高，建议尽快升级或隔离。

⚡ **优先级**：**高 (Critical)**。 📉 **理由**：CVSS 向量显示 **C:H/I:H/A:H**，且已有 **现成 BOF 工具**，利用门槛低 (无需用户交互)。 🚀 **行动**：立即修补 Windows 10 1809 版本，防止被自动化攻击利用。