微软在Win8.1上更新了系统调用NtApphelpCacheControl（代码实际上在ahcache.sys），允许建立兼容性数据缓存并在新的进程被创建时重新使用。一个普通用户可以查询缓存但是不能添加新缓存条目因为操作被重定向到administrators。这一检查由AhcVerifyAdminContext函数实现。

      这个函数存在一个漏洞，他没有正确的检查调用者的模拟令牌来确定用户是否为管理员。他通过PsReferenceImpersonationToken来读取调用者的模拟令牌，然后比较模拟令牌中的SID和系统的SID。但是他没有检令牌中的impersonation等级，所以有可能在系统进程中获得一个身份令牌从而绕过检查。

     目前还不清楚该漏洞能否在win7上利用，他们没有去研究。

Poc在win8.1 32位和64位上都测试成功，跟着下面的步骤来验证：
1）解压获得AppCompatCache.exe和Testdll.dll文件。
2）确保UAC开启，并且为默认设置，当前用户是一个split-token admin。
3）在命令行下运行AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll
4）如果出现计算器表示成功，如果第一次没有成功，请从步骤三重新开始。

POC下载地址：
http://yunpan.cn/cyZSHVpXTLaRU （提取码：b3da）http://pan.baidu.com/s/1kToTOTx （提取码：83uv)



本文由 360安全播报 翻译,测试图来自 安全脉搏。