Новости Анализ CVE-2024-38063: как один пакет может захватить ваш компьютер

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Эксперты проанализировали критическую уязвимость в TCP/IP драйвере.


uptvxcw52zrffwk36wemwjzapmqefaaj.jpg


Исследователь безопасности Маркус Хатчинс Для просмотра ссылки Войди или Зарегистрируйся , в которой анализируется CVE-2024-38063 — критическая уязвимость в Windows 10/11, позволяющая выполнить удаленное выполнение кода (RCE) через пакеты IPv6. Уязвимость получила оценку 9,8 по шкале CVSS, что подчеркивает ее опасность.

В своем отчете Хатчинс описывает, как он изучал уязвимость, начиная с момента выпуска последнего патча Windows 13 августа. Он отметил, что данная уязвимость затрагивает наиболее легко доступную часть ядра Windows — драйвер <code>tcpip.sys</code>, отвечающий за обработку TCP/IP пакетов.

<blockquote>"Разбор патча для выявления изменений в коде занял мгновение. Было внесено только одно изменение в функцию <code>Ipv6pProcessOptions()</code>, что подтвердило наличие уязвимости. Это был самый легкий анализ патча, который я когда-либо делал," — пишет Хатчинс. </blockquote> Несмотря на простоту обнаружения уязвимости, процесс реверс-инжиниринга и разработки рабочего эксплойта оказался значительно сложнее. Исследователь провел недели, разбирая код и тестируя различные сценарии. Он создал proof-of-concept (PoC), который вызывает DoS-атаку, но не приводит к полноценному удаленному выполнению кода.

<blockquote>"Я хотел опубликовать рабочий PoC для DoS, но оказалось крайне трудно надежно спровоцировать баг, что делает его малопригодным для широкого использования," — отмечает Хатчинс. </blockquote> Тем не менее, другой исследователь, @ynwarcs, сумел найти способ эксплуатации уязвимости, что подтверждается опубликованным им PoC. Этот код доступен по ссылке Для просмотра ссылки Войди или Зарегистрируйся .

Хатчинс завершает отчет, подчеркивая важность изучения подобных уязвимостей и делится своим опытом:

<blockquote>"Я многому научился, работая над этим исследованием, и надеюсь, что статья оказалась полезной и для вас," — заключает он. </blockquote>
 
Источник новости
www.securitylab.ru

Похожие темы