Неочевидный риск, который оказался критическим
Недавно в Windows 11 версии 23H2 была выявлена уязвимость, позволяющая локальным атакующим получить повышенные привилегии благодаря целочисленному переполнению в драйвере «ksthunk.sys». Проблема обнаружена в функции «CKSAutomationThunk::ThunkEnableEventIrp», отвечающей за обработку 32-битных процессов в 64-битной среде.
Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта. Разработчик, участвовавший в соревновании, занял второе место.
Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.
Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.
Для эксплуатации используется следующая последовательность:
Эксплуатация данной уязвимости угрожает безопасности как персональных устройств, так и корпоративных сетей. Поскольку уязвимость связана с обработкой памяти, её использование требует значительных технических навыков, но при успешной атаке последствия могут быть катастрофическими.
Специалисты рекомендуют:
В эпоху цифровых технологий безопасность систем зависит не только от технических барьеров, но и от бдительности пользователей и специалистов, готовых быстро распознавать и нейтрализовывать потенциальные угрозы, превращая технические уязвимости в возможность совершенствования защитных механизмов.
Недавно в Windows 11 версии 23H2 была выявлена уязвимость, позволяющая локальным атакующим получить повышенные привилегии благодаря целочисленному переполнению в драйвере «ksthunk.sys». Проблема обнаружена в функции «CKSAutomationThunk::ThunkEnableEventIrp», отвечающей за обработку 32-битных процессов в 64-битной среде.
Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта. Разработчик, участвовавший в соревновании, занял второе место.
Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.
Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.
Для эксплуатации используется следующая последовательность:
- Обход проверки «ProbeForRead» через манипуляцию адресами памяти.
- Переполнение буфера приводит к повреждению соседнего объекта памяти.
- Создаются примитивы для чтения и записи в произвольные области памяти.
- Через модификацию токена процесса атакующий получает доступ к привилегиям SYSTEM.
Эксплуатация данной уязвимости угрожает безопасности как персональных устройств, так и корпоративных сетей. Поскольку уязвимость связана с обработкой памяти, её использование требует значительных технических навыков, но при успешной атаке последствия могут быть катастрофическими.
Специалисты рекомендуют:
- Установить все доступные обновления для Windows 11.
- Использовать антивирусные решения, способные обнаруживать аномальное поведение процессов.
- Установить ограничения на запуск подозрительных приложений в локальной сети.
В эпоху цифровых технологий безопасность систем зависит не только от технических барьеров, но и от бдительности пользователей и специалистов, готовых быстро распознавать и нейтрализовывать потенциальные угрозы, превращая технические уязвимости в возможность совершенствования защитных механизмов.