文章总结： Windows事件日志服务的Microsoft-Windows-Storage-Storport/Operational通道存在信息泄露漏洞，攻击者可通过RPC机制利用EventID524事件获取内核内存地址，从而绕过KASLR防护。该漏洞主要影响NVMe存储设备，可能被APT组织用于攻击链构建。建议立即更新系统补丁、限制RPC端口暴露、启用内核隔离并监控日志访问行为。 综合评分： 72 文章分类： 漏洞分析,威胁情报,漏洞预警,终端安全,应急响应

Windows事件日志服务曝内核地址泄露漏洞，影响NVMe存储设备

原创

网空闲话 网空闲话

网空闲话plus

2026年4月15日 06:57 北京

在小说阅读器读本章

去阅读

【2026年04月15日暗网监测发现】tier1论坛用户”以利亚”发帖称，安全研究人员发现Windows事件日志服务存在严重信息泄露漏洞。该漏洞允许攻击者通过远程过程调用（RPC）机制，从本地或远程Windows计算机中提取内核池指针等敏感内存信息。漏洞具体存在于Microsoft-Windows-Storage-Storport/Operational日志通道中，当Stornvme驱动程序处理NVMe固态硬盘错误时生成的EventID 524事件会意外泄露内核内存地址。

技术分析显示，攻击者可利用此漏洞绕过内核地址空间布局随机化（KASLR）等安全防护机制，为后续提权攻击和恶意代码执行提供便利。虽然当前评估严重程度为”中等”，但该漏洞可能成为高级持续性威胁（APT）攻击链的关键环节。建议所有Windows用户立即检查系统更新，重点关注存储驱动程序补丁。同时应限制不必要的RPC端口暴露，启用内核隔离功能，并监控异常的事件日志访问行为。企业环境需优先为关键服务器部署微隔离策略，防止横向移动风险。

该漏洞是否有cve尚未核实。感兴趣者自行查证。

手机编辑，未对细节进行分析核实，见凉。

参考来源：https://tier1.life/thread/143

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《Windows事件日志服务曝内核地址泄露漏洞，影响NVMe存储设备》