Исследователь безопасности Маркус Хатчинс опубликовал статью , в которой анализируется CVE-2024-38063 – критическая уязвимость в Windows 10/11, позволяющая выполнить удаленное выполнение кода (RCE) через пакеты IPv6. Уязвимость получила оценку 9,8 по шкале CVSS, что подчеркивает ее опасность.
В своем отчете Хатчинс описывает, как он изучал уязвимость, начиная с момента выпуска последнего патча Windows 13 августа. Он отметил, что данная уязвимость затрагивает наиболее легко доступную часть ядра Windows – драйвер tcpip.sys, отвечающий за обработку TCP/IP пакетов.
“Разбор патча для выявления изменений в коде занял мгновение. Было внесено только одно изменение в функцию Ipv6pProcessOptions(), что подтвердило наличие уязвимости. Это был самый легкий анализ патча, который я когда-либо делал,” – пишет Хатчинс.
Несмотря на простоту обнаружения уязвимости, процесс реверс-инжиниринга и разработки рабочего эксплойта оказался значительно сложнее. Исследователь провел недели, разбирая код и тестируя различные сценарии. Он создал proof-of-concept (PoC), который вызывает DoS-атаку, но не приводит к полноценному удаленному выполнению кода.
“Я хотел опубликовать рабочий PoC для DoS, но оказалось крайне трудно надежно спровоцировать баг, что делает его малопригодным для широкого использования,” – отмечает Хатчинс.
Тем не менее, другой исследователь, @ynwarcs, сумел найти способ эксплуатации уязвимости, что подтверждается опубликованным им PoC. Этот код доступен по ссылке здесь .
Хатчинс завершает отчет, подчеркивая важность изучения подобных уязвимостей и делится своим опытом:
“Я многому научился, работая над этим исследованием, и надеюсь, что статья оказалась полезной и для вас,” – заключает он.