Acest articol explorează vulnerabilitatea critică CVE-2024-38193 descoperită în driverul Windows afd.sys, evidențiind riscul major pe care această breșă o reprezintă pentru securitate și necesitatea aplicării imediate a actualizărilor de securitate.
Pe scurt
- Hackerii pot exploata vulnerabilitatea Windows CVE-2024-38193 pentru a obține privilegii de sistem
- Actualizarea de securitate din august 2024 remediază această problemă
- Exploatarea implică tehnici de tip race condition și heap spraying
- Este esențială administrarea promptă a patch-urilor și monitorizarea sistemelor
Vulnabilitatea CVE-2024-38193
Vulnerabilitatea CVE-2024-38193, de tip “use-after-free,” a fost identificată în driverul Windows afd.sys, folosit pentru optimizarea programării socket prin minimizarea apelurilor de sistem. Aceasta permite atacatorilor preluarea sistemului de la distanță.
Patch-ul din august 2024 emis de Microsoft abordează problema, însă înainte de actualizare, atacatorii pot obține privilegii NT AUTHORITY\SYSTEM prin exploatarea acestei breșe.
Exploaterea vulnerabilității
Pentru a exploata această vulnerabilitate, hackerii se folosesc de o condiție de concurență între funcțiile AfdRioGetAndCacheBuffer() și AfdRioDereferenceBuffer(). Metoda de atac include:
- Heap Spraying: Umplerea memoriei cu structuri false RIOBuffer utilizând conducte numite, pregătind terenul pentru atac.
- Declanșarea situației de “use-after-free”: Exploatarea necesită două fire de execuție—unul pentru utilizarea continuă a bufferelor și altul pentru deregistrarea lor. Reușita atacului aduce privilegii de sistem atacatorului.
Specialistul de la Exodus, implicat în cercetare, menționează: “Trebuie să creăm două fire concurente pentru a folosi și deregistra toate buferele înregistrate, declanșând astfel vulnerabilitatea use-after-free.”
Protecție și recomandări
Este crucial ca utilizatorii și organizațiile să aplice actualizările de securitate din august 2024 cât mai repede pentru a reduce riscurile de exploatare. Administratorii ar trebui să asigure funcționarea antivirusului actualizat și configurarea sistemelor pentru a aplica automat actualizările de securitate.
Gestionarea promptă a patch-urilor este vitală pentru protecție împotriva atacurilor, iar CVE-2024-38193 subliniază importanța monitorizării vigilente a sistemului.
Sursa articolului:
https://cybersecuritynews.com/windows-driver-use-after-free-vulnerability/