Неочевидный риск, который оказался критическим.
Недавно в Windows 11 версии 23H2 была выявлена уязвимость, позволяющая локальным атакующим получить повышенные привилегии благодаря целочисленному переполнению в драйвере «ksthunk.sys». Проблема обнаружена в функции «CKSAutomationThunk::ThunkEnableEventIrp», отвечающей за обработку 32-битных процессов в 64-битной среде.
Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта. Разработчик, участвовавший в соревновании, занял второе место.
Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.
Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.
Для эксплуатации используется следующая последовательность:
Эксплуатация данной уязвимости угрожает безопасности как персональных устройств, так и корпоративных сетей. Поскольку уязвимость связана с обработкой памяти, её использование требует значительных технических навыков, но при успешной атаке последствия могут быть катастрофическими.
Специалисты рекомендуют:
В эпоху цифровых технологий безопасность систем зависит не только от технических барьеров, но и от бдительности пользователей и специалистов, готовых быстро распознавать и нейтрализовывать потенциальные угрозы, превращая технические уязвимости в возможность совершенствования защитных механизмов.
Большой взрыв знаний каждый день в вашем телефоне