ИБ-эксперты опубликовали PoC-эксплоит для исправленной в мае уязвимости повышения привилегий в драйвере Win32k.
Напомню, что этот баг получил идентификатор CVE-2023-29336 (7,8 балла по шкале CVSS) и был обнаружен исследователями из компании Avast. Сообщалось, что CVE-2023-29336 затрагивает системы под управлением Windows 10 и Windows Server 2008, 2012 и 2016. «Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии уровня SYSTEM», — гласило официальное сообщение Microsoft.
Еще в мае специалисты Avast предупреждали, что уже зафиксировали атаки на CVE-2023-29336, однако о них не сообщалось ничего конкретного. В свою очередь, Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) добавило эту проблему в каталог известных эксплуатируемых уязвимостей (KEV), и призвало организации установить исправления до 30 мая 2023 года.
Теперь, спустя месяц после выхода патча, аналитики из компании Numen опубликовали полную техническую информацию об уязвимости, а также PoC-эксплоит для Windows Server 2016.
Эксперты рассказывают, что хотя уязвимость непригодна для атак на Windows 11, она представляет значительный риск для более старых версий ОС, включая старые версии Windows 10, Windows Server и Windows 8.
В своем отчете исследователи объясняют, что экспериментировали с различными методами манипулирования памятью, триггерами эксплоитов и функциями чтения/записи памяти, что в итоге помогло им создать работающий эксплоит, который обеспечивает надежное повышение привилегий до уровня SYSTEM. Демонстрация работы эксплоита показана в ролике ниже.
В целом исследователи пришли к выводу, что эксплуатация CVE-2023-29336 не представляется особенно сложной и, скорее всего, останется угрозой для безопасности старых систем.
Инженеры Numen рекомендуют системным администраторам следить за аномальными операциями offset чтения/записи или связанными с window-объектами, что может указывать на активную эксплуатацию CVE-2023-29336 с целью локального повышения привилегий.