Убийца Windows: CVE-2024-38106 даёт хакерам доступ прямо к ядру системы

Безопасный VPN через Телеграмм – обойди все блокировки:

Опасный Zero-day использовался задолго до того, как появился патч.

Второго сентября исследователь безопасности Сергей Корниенко из компании PixiePoint опубликовал анализ и демонстрацию эксплуатации критической уязвимости нулевого дня в ядре Windows, известной как CVE-2024-38106. Эта уязвимость повышения привилегий уже активно используется злоумышленниками, что требует срочных действий от специалистов по безопасности и пользователей.

CVE-2024-38106 (оценка по шкале CVSS: 7.0) находится в ядре операционной системы Windows, конкретнее в процессе «ntoskrnl.exe». Этот процесс является ключевым компонентом Windows, обеспечивающим взаимодействие между аппаратным и программным обеспечением, а также поддерживающим работу многих важных сервисов системы.

Уязвимость связана с Race Condition — ситуацией, при которой результат зависит от последовательности или времени выполнения событий. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может повысить свои привилегии до уровня SYSTEM, что фактически даёт ему полный контроль над заражённым устройством.

Об уязвимости было ответственно сообщено компании Microsoft, а обновление, исправляющее CVE-2024-38106 уже вышло. Корниенко также проанализировал и обновление, исправляющее уязвимость, и отметил важные изменения в двух ключевых функциях: VslGetSetSecureContext() и NtSetInformationWorkerFactory(). Эти изменения были необходимы для устранения Race Condition и повышения безопасности системы.

Купи VPN в России за минуту через наш Телеграмм-бот:

В частности, были введены механизмы блокировки для операций, связанных с безопасным режимом ядра Virtualization-Based Security (VBS), а также добавлена проверка флагов в процессе NtShutdownWorkerFactory(), что уменьшило вероятность эксплуатации уязвимости.

Корниенко также выложил PoC-эксплойт, показывающий, как злоумышленники могут использовать CVE-2024-38106 для повышения привилегий. Публикация эксплойта подчёркивает потенциальные риски для домашних и корпоративных пользователей, если уязвимость не будет своевременно устранена.

По данным PixiePoint, уязвимость активно использовалась северокорейской хакерской группировкой, известной как Citrine Sleet. Зарегистрированные атаки начиналась с перенаправления жертв на вредоносный сайт «voyagorclub[.]space». Предполагается, что для этого применялись методы социальной инженерии.

  Deepin 23 против Windows 11: что предлагает новый китайский Linux?

После попадания на сайт использовалась уязвимость удалённого исполнения кода CVE-2024-7971, что позволяло взломщикам получить доступ к целевой системе. Далее они скачивали и выполняли код, направленный на эксплуатацию уязвимости CVE-2024-38106 для обхода песочницы и повышения привилегий. Это дало возможность внедрить вредоносное ПО — руткит FudModule.

Особая опасность руткита FudModule заключается в применении техники Direct Kernel Object Manipulation (DKOM), которая позволяет злоумышленникам изменять механизмы безопасности ядра Windows. Это делает его обнаружение и удаление чрезвычайно сложным.

Microsoft оперативно выпустила патч для уязвимости CVE-2024-38106 в рамках августовского обновления 2024 года. Однако тот факт, что уязвимость уже использовалась в атаках до выхода обновления, подчёркивает важность своевременной установки патчей и постоянной бдительности в сфере кибербезопасности.

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх