Ερευνητές κυκλοφόρησαν ένα proof-of-concept (PoC) exploit για μια ενεργά εκμεταλλεύσιμη ευπάθεια των Windows για τοπική κλιμάκωση προνομίων που διορθώθηκε στο πλαίσιο της Τρίτης ενημέρωσης Μαΐου 2023.
Δείτε επίσης: Ενημερώστε το iTunes στα Windows για να διορθώσετε ένα ελάττωμα ασφαλείας
Το Win32k subsystem (Win32k.sys kernel driver) διαχειρίζεται τη διαχείριση παραθύρων, το screen output, input και τα γραφικά του λειτουργικού συστήματος και λειτουργεί ως interface μεταξύ διαφόρων τύπων input hardware.
Ως εκ τούτου, η εκμετάλλευση αυτών των τύπων ευπαθειών τείνει να παρέχει αυξημένα προνόμια ή να επιτρέπει την εκτέλεση κώδικα.
Η ευπάθεια εντοπίζεται ως CVE-2023-29336 και ανακαλύφθηκε αρχικά από την εταιρεία κυβερνοασφάλειας Avast. Της αποδόθηκε η βαθμολογία σοβαρότητας CVSS v3.1 7.8, καθώς επιτρέπει σε χρήστες με χαμηλά προνόμια να αποκτήσουν προνόμια Windows SYSTEM, τα οποία είναι τα υψηλότερα προνόμια λειτουργίας χρήστη στα Windows.
Η Avast ανέφερε ότι ανακάλυψε την ευπάθεια αφού είχε γίνει exploit ενεργά ως zero-day σε επιθέσεις.
Για να αυξήσει το awareness σχετικά με το ελάττωμα που αξιοποιείται ενεργά και την ανάγκη εφαρμογής ενημερώσεων ασφαλείας των Windows, η CISA δημοσίευσε και μια προειδοποίηση και το πρόσθεσε στον κατάλογο “Known Exploited Vulnerabilities”.
Ακριβώς ένα μήνα αφότου έγινε διαθέσιμη η ενημερωμένη έκδοση, οι αναλυτές ασφαλείας της εταιρείας κυβερνοασφάλειας Web3, Numen, δημοσίευσαν τώρα πλήρεις τεχνικές λεπτομέρειες σχετικά με το ελάττωμα CVE-2023-29336 και ένα proof-of-concept (PoC) exploit για τον Windows Server 2016.
Δείτε επίσης: Η Cisco διόρθωσε ένα σφάλμα στο AnyConnect που έδινε προνόμια Windows SYSTEM
Ανακαλύπτοντας εκ νέου το ελάττωμα
Ενώ η ευπάθεια αξιοποιείται ενεργά, η Microsoft αναφέρει ότι επηρεάζει μόνο παλαιότερες εκδόσεις των Windows, συμπεριλαμβανομένων των παλαιότερων εκδόσεων των Windows 10, των Windows Server και των Windows 8, και δεν επηρεάζει τα Windows 10.
Αναλύοντας την ευπάθεια στον Windows Server 2016, οι ερευνητές του Numen διαπίστωσαν ότι το Win32k κλειδώνει μόνο το αντικείμενο του παραθύρου, αλλά αποτυγχάνει να κλειδώσει το nested menu object.
Οι ερευνητές λένε ότι αυτή η παράλειψη, η οποία προκύπτει από την αντιγραφή παρωχημένου κώδικα σε νεότερες εκδόσεις του Win32k, αφήνει τα αντικείμενα του μενού ευάλωτα σε tampering ή hijacks εάν οι επιτιθέμενοι αλλάξουν τη συγκεκριμένη διεύθυνση στη μνήμη του συστήματος.
Η κατάληψη του ελέγχου του αντικειμένου του μενού σημαίνει την απόκτηση πρόσβασης στο ίδιο επίπεδο με το πρόγραμμα που το ξεκίνησε. Ακόμη και αν το πρώτο βήμα δεν οδηγεί τους επιτιθέμενους σε προνόμια επιπέδου διαχειριστή, είναι ένα αποτελεσματικό εφαλτήριο για να το επιτύχουν μέσω των επόμενων βημάτων.
Οι ερευνητές πειραματίστηκαν με διάφορες μεθόδους χειραγώγησης της διάταξης της μνήμης, με την εκμετάλλευση ενεργοποιητών και με λειτουργίες του συστήματος ανάγνωσης/εγγραφής μνήμης και τελικά ανέπτυξαν ένα λειτουργικό PoC που θα μπορούσε να αυξήσει αξιόπιστα τα προνόμια SYSTEM.
Περισσότερες τεχνικές λεπτομέρειες σχετικά με αυτή τη διαδικασία είναι διαθέσιμες στην έκθεση της Numen, ενώ ένα demonstration του Proof-of-Concept παρουσιάζεται παρακάτω.
Το γενικό συμπέρασμα είναι ότι η εκμετάλλευση του CVE-2023-29336 δεν είναι ιδιαίτερα δύσκολη.
Η Numen προτείνει ότι οι διαχειριστές συστημάτων θα πρέπει να είναι σε επιφυλακή για μη φυσιολογικές αναγνώσεις και εγγραφές offset στη μνήμη ή που σχετίζονται με window objects, οι οποίες μπορεί να υποδεικνύουν ενεργή εκμετάλλευση του CVE-2023-29336 για τοπική κλιμάκωση προνομίων.
Συνιστάται σε όλους τους χρήστες των Windows να εφαρμόσουν την ενημερωμένη έκδοση Μαΐου 2023, η οποία, εκτός από τη διόρθωση του συγκεκριμένου ελαττώματος, διορθώνει και δύο ακόμη ευπάθειες zero-day που εκμεταλλεύονταν ενεργά οι χάκερ.
Πηγή πληροφοριών: bleepingcomputer.com
 exploit για μια ενεργά εκμεταλλεύσιμη ευπάθεια των Windows για τοπική κλιμάκωση...){kind=link}