Второго сентября исследователь безопасности Сергей Корниенко из компании PixiePoint опубликоваланализ и демонстрацию эксплуатации критической уязвимости нулевого дня в ядре Windows, известной как CVE-2024-38106.Эта уязвимость повышения привилегий уже активно используется злоумышленниками, что требует срочных действий от специалистов по безопасности и пользователей.
CVE-2024-38106 (оценка по шкале CVSS: 7.0) находится в ядре операционной системы Windows, конкретнее в процессе ntoskrnl.exe. Это ядро является ключевым компонентом Windows, обеспечивающим взаимодействие между аппаратным и программным обеспечением, а также поддерживающим работу многих важных сервисов системы.
Уязвимость связана с Race Condition – ситуацией, при которой результат зависит от последовательности или времени выполнения событий. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может повысить свои привилегии до уровня SYSTEM, что фактически даёт ему полный контроль над заражённым устройством.
Об уязвимости было ответственно сообщено компании Microsoft, а обновление, исправляющее CVE-2024-38106 уже вышло. Корниенко также проанализировал и обновление, исправляющее уязвимость, и отметил важные изменения в двух ключевых функциях: VslGetSetSecureContext() и NtSetInformationWorkerFactory(). Эти изменения были необходимы для устранения Race Condition и повышения безопасности системы.
В частности, были введены механизмы блокировки для операций, связанных с безопасным режимом ядра Virtualization-Based Security (VBS), а также добавлена проверка флагов в процессе NtShutdownWorkerFactory(), что уменьшило вероятность эксплуатации уязвимости.
Корниенко также выложил PoC-
Эксплойты обычно классифицируются и называются по: типу уязвимости, которую они используют; являются ли они локальными или удаленными; а также результатом запуска эксплойта (например, EoP, DoS, спуфинг). Одной из схем, предлагающих эксплойты нулевого дня, является Exploit-as-a-Service.