Provera koncepta (PoC) eksploatacija je javno objavljena za kritičnu ranjivost privilegija nultog dana u Windows kernelu. Greška, praćena kao CVE-2024-38106 , bila je jedna od nekoliko nula dana koje je zakrpio Microsoft u svom ažuriranju zakrpe u utorak u avgustu 2024.
CVE-2024-38106 je ranjivost uvjeta trke u jezgru Windowsa koja bi mogla omogućiti lokalnom napadaču da dobije SYSTEM privilegije. Problem ima CVSS ocjenu 7,0, a Microsoftova procjena eksploatabilnosti ga označava kao „vjerovatnije iskorištavanje“.
Anonimni istraživač je prijavio ranjivost Microsoftu, a detalji su držani u tajnosti sve dok PoC eksploatacija nije javno objavljena na GitHubu tokom vikenda.
PoC demonstrira kako se stanje utrke može pokrenuti kako bi se oštetila memorija kernela i postiglo proizvoljno izvršenje koda s povišenim privilegijama.
Patch Analysis
Analiza Microsoftove zakrpe za CVE-2024-38106 od strane istraživača PixiePoint Security baca svjetlo na osnovni uzrok.
Ranjivost je postojala zbog nepravilnog zaključavanja oko poziva VslpEnterIumSecureMode()u VslGetSetSecureContext()funkciji. Ovo bi moglo omogućiti napadaču da oslobodi radnički fabrički objekat i povezani tajmer dok su još u upotrebi, što dovodi do stanja bez upotrebe.
Microsoftova popravka implementira pravilno zaključavanje korištenjem VslpLockPagesForTransfer()i VslpUnlockPagesForTransfer()sprječavanjem stanja utrke.
Međutim, javna dostupnost funkcionalnog PoC eksploatacije čini kritičnim za organizacije da primjene sigurnosna ažuriranja što je prije moguće.
Ublažavanje
Jedino potpuno ublažavanje je instaliranje sigurnosnih ispravki koje sadrže popravku za CVE-2024-38106 . Microsoft je riješio ranjivost u ažuriranju zakrpe u utorak iz avgusta 2024. i poziva sve kupce da odmah primjene zakrpe.
Pogođeni su Windows 11 i Windows Server 2022, kao i neke starije verzije Windows-a koje su još uvijek podržane. Još nema izvještaja o aktivnoj eksploataciji u divljini, ali javni PoC značajno povećava šanse za tu promjenu.
Organizacije bi trebale dati prioritet zakrpanju CVE-2024-38106 zajedno s drugim kritičnim i aktivno iskorištavanim ranjivostima koji su popravljeni ovog mjeseca, uključujući RCE bez klika u Windows TCP/IP stogu ( CVE-2024-38063 ) i nekoliko drugih eskalacija privilegija i udaljenih greške u izvršavanju koda.
Izvor: CyberSecurityNews
