Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие

Эксплойт дня: как баг в кsthunk.sys превращается в цифровое оружие

Неочевидный риск, который оказался критическим.

image

Недавно в Windows 11 версии 23H2 была выявлена уязвимость, позволяющая локальным атакующим получить повышенные привилегии благодаря целочисленному переполнению в драйвере «ksthunk.sys». Проблема обнаружена в функции «CKSAutomationThunk::ThunkEnableEventIrp», отвечающей за обработку 32-битных процессов в 64-битной среде.

Исследование представлено на мероприятии TyphoonPWN 2024, где было продемонстрировано успешное использование эксплойта. Разработчик, участвовавший в соревновании, занял второе место.

Microsoft заявила, что уязвимость уже была устранена, но точная дата исправления не указана. Проверка показала, что проблема сохраняется в последней версии Windows 11, а официальный CVE-номер и документация по исправлению отсутствуют.

Ошибка связана с некорректной обработкой размера буфера, что приводит к переполнению. Атакующий может получить контроль над памятью и произвести произвольную запись, что позволяет внедрить системный токен в текущий процесс и получить привилегии администратора.

Для эксплуатации используется следующая последовательность:

  1. Обход проверки «ProbeForRead» через манипуляцию адресами памяти.
  2. Переполнение буфера приводит к повреждению соседнего объекта памяти.
  3. Создаются примитивы для чтения и записи в произвольные области памяти.
  4. Через модификацию токена процесса атакующий получает доступ к привилегиям SYSTEM.

Эксплуатация данной уязвимости угрожает безопасности как персональных устройств, так и корпоративных сетей. Поскольку уязвимость связана с обработкой памяти, её использование требует значительных технических навыков, но при успешной атаке последствия могут быть катастрофическими.

Специалисты рекомендуют:

  • Установить все доступные обновления для Windows 11.
  • Использовать антивирусные решения, способные обнаруживать аномальное поведение процессов.
  • Установить ограничения на запуск подозрительных приложений в локальной сети.

В эпоху цифровых технологий безопасность систем зависит не только от технических барьеров, но и от бдительности пользователей и специалистов, готовых быстро распознавать и нейтрализовывать потенциальные угрозы, превращая технические уязвимости в возможность совершенствования защитных механизмов.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий