Новости Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Неочевидный риск, который оказался критическим.


q2jp0fjvgpkjybn0d3zqcenep4djur8r.jpg


Недавно в Windows 11 версии 23H2 Для просмотра ссылки Войди или Зарегистрируйся позволяющая локальным атакующим получить повышенные привилегии благодаря целочисленному переполнению в драйвере «ksthunk.sys». Проблема обнаружена в функции «CKSAutomationThunk::ThunkEnableEventIrp», отвечающей за обработку 32-битных процессов в 64-битной среде.

Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта . Разработчик, участвовавший в соревновании, занял второе место.

Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.

Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.

Для эксплуатации используется следующая последовательность:

  1. Обход проверки «ProbeForRead» через манипуляцию адресами памяти.
  2. Переполнение буфера приводит к повреждению соседнего объекта памяти.
  3. Создаются примитивы для чтения и записи в произвольные области памяти.
  4. Через модификацию токена процесса атакующий получает доступ к привилегиям SYSTEM.
Эксплуатация данной уязвимости угрожает безопасности как персональных устройств, так и корпоративных сетей. Поскольку уязвимость связана с обработкой памяти, её использование требует значительных технических навыков, но при успешной атаке последствия могут быть катастрофическими.

Специалисты рекомендуют:

  • Установить все доступные обновления для Windows 11.
  • Использовать антивирусные решения, способные обнаруживать аномальное поведение процессов.
  • Установить ограничения на запуск подозрительных приложений в локальной сети.
В эпоху цифровых технологий безопасность систем зависит не только от технических барьеров, но и от бдительности пользователей и специалистов, готовых быстро распознавать и нейтрализовывать потенциальные угрозы, превращая технические уязвимости в возможность совершенствования защитных механизмов.
 
Источник новости
www.securitylab.ru

Похожие темы