Μια κρίσιμη ευπάθεια τύπου use-after-free, με την ονομασία CVE-2024-38193, έχει εντοπιστεί στον Windows Driver afd.sys.
Επηρεάζει την επέκταση Registered I/O (RIO) για sockets των Windows και επιτρέπει σε επιτιθέμενους να αποκτήσουν απομακρυσμένα τον πλήρη έλεγχο του συστήματος. Η ενημέρωση Patch Tuesday του Αυγούστου 2024 έχει διορθώσει την ευπάθεια.
Δείτε σχετικά: Overflaw ευπάθεια στα Windows 11 επιτρέπει σε hackers αύξηση προνομίων
Το πρόβλημα βρίσκεται στο στοιχείο RIO του οδηγού afd.sys, το οποίο χρησιμοποιείται για τη βελτιστοποίηση του socket programming μειώνοντας τις κλήσεις συστήματος.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Το ζήτημα προκύπτει λόγω μιας συνθήκης race condition μεταξύ δύο συναρτήσεων, της AfdRioGetAndCacheBuffer() και της AfdRioDereferenceBuffer(). Αυτή η συνθήκη μπορεί να αξιοποιηθεί από κακόβουλους χρήστες ώστε να αποκτήσουν πρόσβαση σε μνήμη που έχει ήδη απελευθερωθεί, πιθανώς οδηγώντας σε κλιμάκωση προνομίων.
Τεχνική Ανάλυση
Η επέκταση RIO διευκολύνει τις αποδοτικές λειτουργίες αποστολής και λήψης, επιτρέποντας σε προγράμματα που βρίσκονται στον χώρο χρήστη να καταχωρούν μεγάλους buffers. Ωστόσο, η συνθήκη race condition μεταξύ των προαναφερόμενων συναρτήσεων μπορεί να ενεργοποιηθεί μέσω χειραγώγησης των διαδικασιών εγγραφής και αποεγγραφής των buffers. Αυτή η αξιοποίηση περιλαμβάνει διάφορα σύνθετα βήματα:
Heap Spraying: Κακόβουλοι χρήστες μπορούν να γεμίσουν το μη ταξινομημένο pool (non-paged pool) με ψεύτικες δομές RIOBuffer χρησιμοποιώντας ονομαστικούς σωλήνες (named pipes), δημιουργώντας συνθήκες κατάλληλες για εκμετάλλευση.
Ενεργοποίηση Use-After-Free: Η αξιοποίηση απαιτεί δύο νήματα—το ένα για συνεχή χρήση των buffers και το άλλο για αποεγγραφή των buffers. Εάν η συνθήκη race condition επιτύχει, θα προκύψουν καταχωρίσεις στη μνήμη cache που δείχνουν σε απελευθερωμένες δομές RIOBuffer.
Κλιμάκωση Προνομίων: Η αξιοποίηση αποκτά έλεγχο αυτών των δομών, πιθανώς αντικαθιστώντας κρίσιμες θέσεις μνήμης του πυρήνα για να αποκτήσει προνόμια NT AUTHORITY\SYSTEM.
Διαβάστε περισσότερα: Ανακαλύφθηκε ευπάθεια στο macOS WorkflowKit Race
Η κύρια στρατηγική εκμετάλλευσης περιλαμβάνει τη δημιουργία ψευδών δομών RIOBuffer εντός του μη ταξινομημένου pool. Με τη δημιουργία ταυτόχρονων νημάτων, οι επιτιθέμενοι μπορούν να χειραγωγήσουν τον οδηγό afd.sys ώστε να χρησιμοποιήσει αυτές τις απελευθερωμένες δομές, επιτρέποντάς τους να πραγματοποιήσουν αυθαίρετες αναγνώσεις και εγγραφές στη μνήμη.
«Αυτό τελικά επιτρέπει την κλιμάκωση προνομίων. Με την ολοκλήρωση της ρύθμισης του μη ταξινομημένου pool, μπορούμε να ενεργοποιήσουμε την ευπάθεια τύπου use-after-free.»
Για την ενεργοποίησή της, η εκμετάλλευση πρέπει να δημιουργήσει δύο ταυτόχρονα νήματα, ένα που συνεχίζει να χρησιμοποιεί τους καταχωρημένους buffers εκτελώντας αιτήματα ανάγνωσης/εγγραφής και ένα άλλο που επαναλαμβάνει τη διαδικασία απεγγραφής όλων των καταχωρημένων buffers», δήλωσε ερευνητής της Exodus.
Η Microsoft έχει κυκλοφορήσει μια ενημέρωση κώδικα που επιδιορθώνει αυτήν την ευπάθεια. Συνιστούμε ανεπιφύλακτα στους χρήστες και τους οργανισμούς να εφαρμόσουν άμεσα τις ενημερώσεις ασφαλείας του Αυγούστου 2024 για τη μείωση του κινδύνου εκμετάλλευσης. Οι διαχειριστές θα πρέπει επίσης να διασφαλίσουν ότι όλα τα συστήματα διαθέτουν ενημερωμένο λογισμικό προστασίας από ιούς και είναι ρυθμισμένα ώστε να εφαρμόζουν αυτόματα τις ενημερώσεις ασφαλείας.
Δείτε ακόμη: Sticky Notes Windows 11: Πώς να δημιουργήσετε αντίγραφα ασφαλείας;
Η CVE-2024-38193 υπογραμμίζει τη σημασία της έγκαιρης διαχείρισης ενημερώσεων και της επαγρύπνησης στην παρακολούθηση συστημάτων. Παρόλο που η ευπάθεια ενέχει σημαντικό κίνδυνο, η εφαρμογή των πιο πρόσφατων ενημερώσεων ασφαλείας μπορεί να εξουδετερώσει αποτελεσματικά την απειλή.
Πηγή: cybersecuritynews