Hackerii exploatează vulnerabilitatea CVE-2024-38193 pentru a obține privilegii de sistem

Hackerii exploatează vulnerabilitatea CVE-2024-38193 pentru a obține privilegii de sistem

Acest articol explorează vulnerabilitatea critică CVE-2024-38193 descoperită în driverul Windows afd.sys, evidențiind riscul major pe care această breșă o reprezintă pentru securitate și necesitatea aplicării imediate a actualizărilor de securitate.

Pe scurt

  • Hackerii pot exploata vulnerabilitatea Windows CVE-2024-38193 pentru a obține privilegii de sistem
  • Actualizarea de securitate din august 2024 remediază această problemă
  • Exploatarea implică tehnici de tip race condition și heap spraying
  • Este esențială administrarea promptă a patch-urilor și monitorizarea sistemelor

Vulnabilitatea CVE-2024-38193

Vulnerabilitatea CVE-2024-38193, de tip “use-after-free,” a fost identificată în driverul Windows afd.sys, folosit pentru optimizarea programării socket prin minimizarea apelurilor de sistem. Aceasta permite atacatorilor preluarea sistemului de la distanță.

Patch-ul din august 2024 emis de Microsoft abordează problema, însă înainte de actualizare, atacatorii pot obține privilegii NT AUTHORITY\SYSTEM prin exploatarea acestei breșe.

Exploaterea vulnerabilității

Pentru a exploata această vulnerabilitate, hackerii se folosesc de o condiție de concurență între funcțiile AfdRioGetAndCacheBuffer() și AfdRioDereferenceBuffer(). Metoda de atac include:

  1. Heap Spraying: Umplerea memoriei cu structuri false RIOBuffer utilizând conducte numite, pregătind terenul pentru atac.
  2. Declanșarea situației de “use-after-free”: Exploatarea necesită două fire de execuție—unul pentru utilizarea continuă a bufferelor și altul pentru deregistrarea lor. Reușita atacului aduce privilegii de sistem atacatorului.

Specialistul de la Exodus, implicat în cercetare, menționează: “Trebuie să creăm două fire concurente pentru a folosi și deregistra toate buferele înregistrate, declanșând astfel vulnerabilitatea use-after-free.

Protecție și recomandări

Este crucial ca utilizatorii și organizațiile să aplice actualizările de securitate din august 2024 cât mai repede pentru a reduce riscurile de exploatare. Administratorii ar trebui să asigure funcționarea antivirusului actualizat și configurarea sistemelor pentru a aplica automat actualizările de securitate.

Gestionarea promptă a patch-urilor este vitală pentru protecție împotriva atacurilor, iar CVE-2024-38193 subliniază importanța monitorizării vigilente a sistemului.

Sursa articolului:

https://cybersecuritynews.com/windows-driver-use-after-free-vulnerability/

Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.

Hackerii exploatează vulnerabilitatea CVE-2024-38193 pentru a obține privilegii de sistem
Hackerii exploatează vulnerabilitatea CVE-2024-38193 pentru a obține privilegii de sistem