Se lanza un exploit PoC para un día cero de Windows

Iniciado por AXCESS, Septiembre 06, 2024, 12:01:25 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 06, 2024, 12:01:25 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha publicado un exploit de prueba de concepto (PoC) para una vulnerabilidad crítica de día cero de elevación de privilegios en el kernel de Windows. La falla, identificada como CVE-2024-38106, fue una de las varias vulnerabilidades de día cero que Microsoft corrigió en su actualización del martes de parches de agosto de 2024.

CVE-2024-38106 es una vulnerabilidad de condición de carrera en el kernel de Windows que podría permitir que un atacante local obtenga privilegios de SYSTEM. El problema tiene una puntuación CVSS de 7,0 y la evaluación de explotabilidad de Microsoft lo etiqueta como "explotación más probable".

Un investigador anónimo informó a Microsoft sobre la vulnerabilidad y los detalles se mantuvieron en secreto hasta que se publicó una prueba de concepto en GitHub durante el fin de semana.

La prueba de concepto demuestra cómo se puede activar la condición de carrera para corromper la memoria del núcleo y lograr la ejecución de código arbitrario con privilegios elevados.

Análisis de parches

Un análisis del parche de Microsoft para CVE-2024-38106 realizado por investigadores de PixiePoint Security arroja luz sobre la causa raíz.

La vulnerabilidad existía debido a un bloqueo inadecuado en torno a las llamadas a VslpEnterIumSecureMode() en la función VslGetSetSecureContext(). Esto podría permitir que un atacante liberara el objeto de fábrica de trabajo y el temporizador asociado mientras aún estaban en uso, lo que generaba una condición de uso después de la liberación.

La solución de Microsoft implementa un bloqueo adecuado mediante VslpLockPagesForTransfer() y VslpUnlockPagesForTransfer() para evitar la condición de carrera
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sin embargo, la disponibilidad pública de un exploit PoC en funcionamiento hace que sea fundamental que las organizaciones apliquen actualizaciones de seguridad lo antes posible.

Mitigación

La única mitigación completa es instalar las actualizaciones de seguridad que contienen la corrección de CVE-2024-38106. Microsoft abordó la vulnerabilidad en la actualización del martes de parches de agosto de 2024 e insta a todos los clientes a aplicar los parches de inmediato.

Windows 11 y Windows Server 2022 se ven afectados, así como algunas versiones anteriores de Windows que aún reciben soporte. Todavía no hay informes de explotación activa, pero el PoC aumenta significativamente las posibilidades de que eso cambie.

Las organizaciones deben priorizar la aplicación de parches a CVE-2024-38106 junto con las otras vulnerabilidades críticas y explotadas activamente que se corrigieron este mes, incluida una RCE de clic cero en la pila TCP/IP de Windows (CVE-2024-38063) y varias otras fallas de escalada de privilegios y ejecución remota de código.

Fuente:
Cyber Security News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario