Windows 11高危漏洞:300毫秒即可提权至管理员;|快递公司负责人导出公民个人信息129000多条 非法获利获刑

发布于 作者:

Windows 11高危漏洞:300毫秒即可提权至管理员;|快递公司负责人导出公民个人信息129000多条 非法获利获刑

黑白之道 2025-04-18 01:59

重要!!!2025HW招募,加V:Hacker-ED

详情请点击:

重要!2025HW招募!

Windows 11高危漏洞:300毫秒即可提权至管理员

Windows 11 存在一个严重漏洞,攻击者可在短短 300 毫秒内从低权限用户提升至系统管理员权限。

该漏洞编号为 CVE-2025-24076,通过精密的 DLL 劫持技术利用 Windows 11“移动设备”功能的缺陷。安全研究人员于 2024 年 9 月发现此漏洞,并于 2025 年 4 月 15 日公开披露,其攻击目标是 Windows 11 摄像头功能加载的 DLL 文件。

研究人员发现,位于用户可修改目录 %PROGRAMDATA%\CrossDevice\ 下的 CrossDevice.Streaming.Source.dll 文件会先由普通用户进程加载,随后被高权限系统进程加载。

Compass Security 公司的 John Ostrowski 表示:“这个漏洞是典型的 DLL 劫持场景,但包含极具挑战性的时间控制因素,攻击窗口期极短——仅有 300 毫秒,但我们开发了可靠的技术手段实现稳定利用。”

01

Windows 11 权限提升漏洞技术细节

漏洞利用过程面临多项技术挑战。研究人员最初使用 PrivescCheck 工具进行自动化扫描,发现非特权用户对 COM 服务器模块文件具有修改权限:

图片

为克服短暂的时间窗口,研究人员采用机会锁(Opportunistic Locks)技术在关键时刻暂停程序执行。通过微软 Detours 库,他们拦截了专门针对 GetFileVersionInfoExW 的 Windows API 调用,以确定可靠替换文件的时机。

图片

研究人员创建了恶意 DLL 文件,该文件在保留原有功能的同时添加了未授权命令:

图片

当高权限进程加载该 DLL 时,恶意代码将以 SYSTEM 权限执行。为确保被替换的 DLL 保持原有功能,研究人员实现了代理机制,将函数调用转发至原始 DLL:

图片

02

漏洞缓解措施

该漏洞影响启用了“移动设备”功能的 Windows 11 系统,该功能允许用户将手机链接为网络摄像头使用。微软已在 2025 年 3 月的安全更新中发布补丁。

此发现凸显了在特权进程中实施严格文件访问控制和签名验证的重要性。即使在没有可用补丁的情况下,端点检测与响应(EDR)解决方案也能通过行为监控检测此类攻击。

研究人员建议 :“虽然保持系统更新至关重要,但用户还可采取额外防护措施,使用 EDR 解决方案可以主动检测异常行为,识别可疑活动。”

微软将主系统级权限提升漏洞编号为 CVE-2025-24076,同一功能中的相关用户间攻击向量编号为 CVE-2025-24994。强烈建议用户安装最新的 Windows 安全更新以修复这些漏洞。

该漏洞利用案例表明,即使是现代操作系统,在新功能实现中也可能受到长期存在的攻击技术威胁,特别是当熟练的攻击者利用时间差和竞争条件时。

快递公司负责人导出公民个人信息129000多条 非法获利获刑

2025年4月15日,
宿迁经开区人民法院审理了一起涉及公民个人信息非法交易的案件,一起来关注。本院认为,被告人段某、陈某等人违反国家有关规定,将在提供服务过程中获得的个人信息出售给他人,情节特别严重。

图片

案件还要从2024年4月初说起,被告人段某(安徽人)是一家物流公司的老板,为扩展业务单量、促成与网点商家张某(另案处理)的寄递合作业务,两人达成了个人信息交易协议,约定段某将商家寄件时显示的买家个人信息提供给张某,张某则按每条0.3至0.6元的标准向段某支付费用。

客户为了更好二次推广销售,需要我们把公民(顾客)收件人的信息导出来给他,以便他二次销售,能省去一部分广告费用和推广费用。

此外,为了获得更多公民个人信息,
段某利用自己的私人关系,找到了某快递公司负责人陈某,陈某又安排公司其他几名被告人郑某、陈某某、潘某某、蒋某某分工配合,系统归纳公民个人信息,并汇总信息数量、价格等内容。我们负责解决揽收过程中出现的一些技术问题,段某给我们的价格是3毛钱一条,至于他那边怎么分我们不清楚。

去年4月30日,有市民报警,称自己的个人信息被泄露,导致东窗事发。经调查,2024年4月1日至5月14日期间,被告人段某、陈某、郑某等人共计导出公民个人信息129000多条,售出后非法获利44000元。法院审理认为,被告人段某、陈某、郑某等人在各自职责范围内,违反国家关于公民个人信息保护的相关规定,利用职务之便或行业便利,非法获取并出售公民个人信息,其行为不仅严重侵犯了公民的隐私权,也扰乱了正常市场秩序和社会管理秩序。

根据法律规定,在提供服务或者履行职务过程中,将获取的信息出售或者提供给他人达到25000条的,就属于情节特别严重。本案所有涉及的被告人,都已经达到了情节特别严重的情况,应当判处3年以上7年以下有期徒刑,并处罚金。

在庭审过程中,各被告人均对自己的犯罪行为供认不讳,并表达了深深的悔意。宿迁经开区人民法院根据各被告人的犯罪事实、性质、情节以及社会危害程度,依法对本案的6名被告人作出有期徒刑3年、缓刑4年,并处罚金等不同的刑事处罚。

文章来源 :freebuf、安全学习那些事儿****

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中!

【Web精英班·开班】HW加油站,快来充电!

始于猎艳,终于诈骗!带你了解“约炮”APP