Local CVE-2023-36874: Windows LPE

[0x00x0]

For demonstration purposes only. Exploit works on vulnerable Windows clients/servers.
Compile code and create c:\test\system32 directories. Place your wermgr.exe in that directory and run compiled PoC.

GitHub - Wh04m1001/CVE-2023-36874

Contribute to Wh04m1001/CVE-2023-36874 development by creating an account on GitHub.

github.com

Source:
https://www.crowdstrike.com/blog/falcon-complete-zero-day-exploit-cve-2023-36874/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874

 

[Vinki]

Вот почему организациям важно внедрить несколько уровней защиты, таких как CrowdStrike, Falcon Complete, управляемое обнаружение и реагирование. Команда Falcon Complete активно отслеживает и устраняет такие уязвимости, как CVE-2023-36874, чтобы организации могли 24/7 защищаться от новейших угроз, включая использование уязвимостей нулевого дня в дикой природе.

КС, Фалькон как доберетесь до моих проектов - наберите. Сделаю скидку(нет), х2 в +


Лодари...

 

[Desconocido]

может кто нибудь скинуть скомпиленный, а то у меня ошибка при компиле

 

[zenfai]

пробовал на виртуалках win 10 - 17763, 19044, 1903, 22h1, 22h2 на обновлениях разной свежести(до мая 23) нигде не отработал. редирект пробовал на разные папки безрезультатно. в чём может быть проблема подскажите у кого получилось завести.

 

[zenfai]

пробовал на виртуалках win 10 - 17763, 19044, 1903, 22h1, 22h2 на обновлениях разной свежести(до мая 23) нигде не отработал. редирект пробовал на разные папки безрезультатно. в чём может быть проблема подскажите у кого получилось завести.

разобрался, для срабатывания юзер не должен входил в группу local administrator, о чём автор указал у себя в твиттере

 

[Desconocido]

разобрался, для срабатывания юзер не должен входил в группу local administrator, о чём автор указал у себя в твиттере

2 таргетах опробовал сервер 2016 и 2012 , с правами low priv . не сработал. скомпилил 2 файла, закинул c:\test\system32

 

[Березовский]

тоже не сработал экс, хотя файл по пути C:\\ProgramData\\Microsoft\\Windows\\WER\\ReportArchive\\MyReport\\Report.wer
создается, но права не повышаются

 

[jmoon]

На WinServer2008R2 свежеусановленном, тоже не сработал. Cannot create report.wer file. Это при компиляции в чисто машинный код. Когда компилировал .NET сборку, вывалился с ошибкой на отсутствие необходимой .dll Будем дальше экспериментировать Хотя в кодинге я слабо разбираюсь.

 

[Desconocido]

тоже не сработал экс, хотя файл по пути C:\\ProgramData\\Microsoft\\Windows\\WER\\ReportArchive\\MyReport\\Report.wer
создается, но права не повышаются

тоже самое, не создает ЛА юзера

 

[Vinki]

GitHub - Octoberfest7/CVE-2023-36874_BOF: Weaponized CobaltStrike BOF for CVE-2023-36874 Windows Error Reporting LPE

Weaponized CobaltStrike BOF for CVE-2023-36874 Windows Error Reporting LPE - GitHub - Octoberfest7/CVE-2023-36874_BOF: Weaponized CobaltStrike BOF for CVE-2023-36874 Windows Error Reporting LPE

github.com

 

[wav]

C:\Temp>ConsoleApplication1.exe
[+] Report.wer file created.
Error pIWerReport: 0x80004001

 

[Березовский]

да не рабочее это гавно