Το PoC κυκλοφόρησε για Windows Win32k bug που χρησιμοποιείται σε επιθέσεις
Related Posts
Οι ερευνητές κυκλοφόρησαν ένα exploit απόδειξης της ιδέας (PoC) για μια ευπάθεια κλιμάκωσης τοπικών προνομίων των
Windows
που έγινε ενεργά εκμετάλλευση, η οποία διορθώθηκε ως μέρος της ενημέρωσης κώδικα Τρίτης Μαΐου 2023.
Το υποσύστημα Win32k (πρόγραμμα οδήγησης πυρήνα Win32k.sys) διαχειρίζεται τη διαχείριση παραθύρων, την έξοδο οθόνης, την είσοδο και τα γραφικά του λειτουργικού συστήματος και λειτουργεί ως διεπαφή μεταξύ διαφόρων τύπων υλικού εισόδου.
Ως εκ τούτου, η εκμετάλλευση αυτών των τύπων τρωτών σημείων τείνει να παρέχει αυξημένα προνόμια ή εκτέλεση κώδικα.
Η ευπάθεια παρακολουθείται ως
CVE-2023-29336
και ήταν αρχικά
ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας Avast
. Του εκχωρήθηκε βαθμολογία σοβαρότητας CVSS v3.1 7,8, καθώς επιτρέπει σε χρήστες με χαμηλά προνόμια να αποκτήσουν προνόμια Windows SYSTEM, τα υψηλότερα δικαιώματα λειτουργίας χρήστη στα Windows
Η Avast λέει ότι ανακάλυψε την ευπάθεια αφού χρησιμοποιήθηκε ενεργά ως μηδενική ημέρα σε επιθέσεις. Ωστόσο, η εταιρεία αρνήθηκε να μοιραστεί περαιτέρω λεπτομέρειες με το BleepingComputer, επομένως δεν είναι σαφές πώς έγινε κατάχρηση.
Για την ευαισθητοποίηση σχετικά με το ελάττωμα που χρησιμοποιείται ενεργά και την ανάγκη εφαρμογής ενημερώσεων ασφαλείας των Windows, η CISA επίσης
δημοσίευσε προειδοποίηση
και το πρόσθεσε στον κατάλογό του “Γνωστά εκμεταλλευόμενα τρωτά σημεία”.
Ακριβώς ένα μήνα αφότου έγινε διαθέσιμη η ενημέρωση κώδικα, οι αναλυτές ασφαλείας της εταιρείας κυβερνοασφάλειας Web3 Numen έχουν πλέον δημοσιεύσει πλήρεις τεχνικές λεπτομέρειες σχετικά με το ελάττωμα CVE-2023-29336 και μια εκμετάλλευση PoC για τον Windows Server 2016.
Ανακαλύπτοντας ξανά το ελάττωμα
Ενώ η ευπάθεια εκμεταλλεύεται ενεργά, η
Microsoft
λέει ότι επηρεάζει μόνο παλαιότερες εκδόσεις των Windows, συμπεριλαμβανομένων των παλαιότερων εκδόσεων των
Windows 10
, του Windows Server και των Windows 8, και δεν επηρεάζει τα
Windows 11
.
«Αν και αυτή η ευπάθεια φαίνεται να μην είναι εκμεταλλεύσιμη στην έκδοση του συστήματος Win11, ενέχει σημαντικό κίνδυνο για προηγούμενα συστήματα», εξηγεί ο Numen στο
την έκθεσή τους
.
“Η εκμετάλλευση τέτοιων τρωτών σημείων έχει ένα διαβόητο ιστορικό και σε αυτήν την εις βάθος ανάλυση, εμβαθύνουμε στις μεθόδους που χρησιμοποιούνται από τους φορείς απειλών για την εκμετάλλευση αυτής της συγκεκριμένης ευπάθειας, λαμβάνοντας υπόψη τα εξελισσόμενα μέτρα μετριασμού.”
Αναλύοντας την ευπάθεια στον Windows Server 2016, οι ερευνητές του Numen διαπίστωσαν ότι το Win32k κλειδώνει μόνο το αντικείμενο του παραθύρου, αλλά αποτυγχάνει να κλειδώσει το ένθετο αντικείμενο μενού.
Αυτή η παράλειψη, η οποία σύμφωνα με τους ερευνητές προκύπτει από την αντιγραφή απαρχαιωμένου κώδικα σε νεότερες εκδόσεις Win32k, αφήνει τα αντικείμενα του μενού ευάλωτα σε παραβιάσεις ή αεροπειρατείες εάν οι εισβολείς αλλάξουν τη συγκεκριμένη διεύθυνση στη μνήμη του συστήματος.
Ο έλεγχος του αντικειμένου μενού σημαίνει την απόκτηση πρόσβασης ίδιου επιπέδου με το πρόγραμμα που το ξεκίνησε, αλλά ακόμα κι αν το πρώτο βήμα δεν οδηγεί τους εισβολείς σε προνόμια επιπέδου διαχειριστή, είναι ένα αποτελεσματικό εφαλτήριο για να επιτευχθεί αυτό μέσω των επόμενων βημάτων.
Οι ερευνητές πειραματίστηκαν με διάφορες μεθόδους χειρισμού διάταξης μνήμης, ενεργοποιητές εκμετάλλευσης και λειτουργίες συστήματος ανάγνωσης/εγγραφής μνήμης και τελικά ανέπτυξαν ένα λειτουργικό PoC που θα παρήγαγε αξιόπιστη ανύψωση στα προνόμια SYSTEM.
Περισσότερες τεχνικές λεπτομέρειες σχετικά με αυτήν τη διαδικασία είναι διαθέσιμες στην αναφορά Numen και μια επίδειξη του PoC φαίνεται παρακάτω.
Το γενικό συμπέρασμα είναι ότι η εκμετάλλευση του CVE-2023-29336 δεν είναι ιδιαίτερα απαιτητική.
«Εκτός από την επιμελή διερεύνηση διαφορετικών μεθόδων για να αποκτήσετε έλεγχο στην πρώτη λειτουργία εγγραφής χρησιμοποιώντας τα δεδομένα που έχουν καταληφθεί ξανά από την ελευθερωμένη μνήμη, συνήθως δεν υπάρχει ανάγκη για νέες τεχνικές εκμετάλλευσης», αναφέρει η έκθεση.
“Αυτός ο τύπος ευπάθειας βασίζεται σε μεγάλο βαθμό σε διευθύνσεις χειρισμού σωρού επιτραπέζιων υπολογιστών που έχουν διαρρεύσει […]και εάν αυτό το ζήτημα δεν αντιμετωπιστεί διεξοδικά, παραμένει ένας κίνδυνος ασφάλειας για τα παλαιότερα συστήματα.”
Ο Numen προτείνει ότι οι διαχειριστές συστήματος θα πρέπει να προσέχουν για μη φυσιολογικές αναγνώσεις και εγγραφές μετατόπισης στη μνήμη ή που σχετίζονται με αντικείμενα παραθύρου, που μπορεί να υποδηλώνουν ενεργή εκμετάλλευση του CVE-2023-29336 για κλιμάκωση τοπικών προνομίων.
Συνιστάται σε όλους τους χρήστες των Windows να εφαρμόζουν την ενημερωμένη έκδοση κώδικα του Μαΐου 2023, η οποία, εκτός από το συγκεκριμένο ελάττωμα, διόρθωσε δύο ακόμη τρωτά σημεία zero-day που εκμεταλλεύτηκαν ενεργά οι χάκερ.
