关键信息 漏洞概述 CVE编号: CVE-2024-11616 漏洞类型: Netskope EPDLP Double-Fetch 影响范围: Windows 10和Windows 11系统中的Netskope Endpoint Data Loss Prevention (EPDLP) 驱动程序 目标 目标组件: Filter Manager、Device Control I/O Request Packet (IRP) 和 Standard Control IRP 漏洞位置: 在Filter Manager中实现的EPDLP驱动程序,特别是与Device Control IRP相关的部分 漏洞细节 问题描述: 当处理Device Control IRP时,EPDLP驱动程序在调用 函数后,没有正确验证返回的缓冲区长度。这导致了Double-Fetch漏洞。 技术细节: - 函数用于获取I/O参数块,但其返回的缓冲区长度未被正确检查。 - 攻击者可以利用这一点,通过构造特定的输入数据,使驱动程序访问越界内存,从而导致信息泄露或进一步的权限提升。 漏洞利用 PoC (概念验证): 提供了一个简单的代码示例,展示了如何触发该漏洞。 - 创建一个全局变量,其值会被两次读取(Double-Fetch)。 - 通过精心构造的输入数据,使得第一次读取和第二次读取的值不同,从而触发漏洞。 参考资料 提供了多个相关链接,包括Netskope的产品页面、CVE详细信息、以及关于Filter Communication Port的相关文档。 ``` 这些信息总结了漏洞的关键点,包括其类型、影响范围、具体的技术细节以及如何利用该漏洞的示例。