9 dic 2024

Vulnerabilidad de escalamiento de privilegios explotada y con PoC publicada

Se ha descubierto una vulnerabilidad crítica de uso posterior a la liberación, identificada como CVE-2024-38193, en el controlador de Windows afd.sys /CVSS 7,8). Esta vulnerabilidad supone una amenaza importante para los sistemas Windows, ya que podría permitir a los atacantes escalar privilegios y ejecutar código arbitrario.

El investigador de seguridad Luca Ginex de Exodus Intelligence ha realizado un análisis en profundidad de esta vulnerabilidad, que ha proporcionado información valiosa sobre su proceso de explotación.

Gen Digital, la empresa de investigación de seguridad que descubrió e informó de la vulnerabilidad a Microsoft, afirmó que esta falla permite a los atacantes eludir las restricciones de seguridad normales y acceder a áreas sensibles del sistema que normalmente son inaccesibles para la mayoría de los usuarios y administradores. Este ataque es complejo y astuto, y podría valer cientos de miles de dólares en el mercado negro.

Los investigadores revelaron los resultados de su rastreo y atribución, y revelaron que el Grupo Lazarus ha estado utilizando esta vulnerabilidad para instalar malware conocido como FudModule. Este malware es muy sofisticado y fue detectado inicialmente por investigadores de AhnLab y ESET en 2022.

CVE-2024-38193 reside en la extensión Registered I/O (RIO) para sockets de Windows, una característica diseñada para optimizar la programación de sockets al reducir las llamadas al sistema. La vulnerabilidad se origina en una condición de carrera entre las funciones AfdRioGetAndCacheBuffer() y AfdRioDereferenceBuffer() dentro del controlador afd.sys.

Como explica Ginex, "La condición de carrera entre estas funciones permite a un usuario malintencionado forzar a la función AfdRioGetAndCacheBuffer() a actuar sobre una estructura de búfer registrada que ha sido liberada por la función AfdRioDereferenceBuffer()".

La explotación de CVE-2024-38193 implica un proceso de varias etapas, como lo describe Ginex:

  • Heap Spraying: el atacante rocía el grupo no paginado con estructuras RIOBuffer falsas y crea agujeros, allanando el camino para que se active la vulnerabilidad.
  • Desencadenante de la vulnerabilidad: al crear dos subprocesos simultáneos, el atacante anula el registro de los búferes mientras aún están en uso, lo que genera un escenario de uso posterior a la liberación.
  • Escalamiento de privilegios: el atacante aprovecha las estructuras RIOBuffer liberadas para obtener el control sobre el contenido de la memoria caché y escalar privilegios.

El exploit utiliza esta capacidad de escritura arbitraria para sobrescribir la estructura _SEP_TOKEN_PRIVILEGES, lo que otorga privilegios NT AUTHORITY\SYSTEM.

Nephster, un investigador de seguridad independiente, ha publicado un código de prueba de concepto (PoC) para la vulnerabilidad CVE-2024-38193 en GitHub, lo que aumenta aún más su amenaza potencial. La PoC demuestra cómo los atacantes pueden lograr de manera confiable un escalamiento de privilegios en sistemas sin parches.

Esta vulnerabilidad ha sido corregida en el Patch Tuesday de agosto de 2024. Se recomienda encarecidamente a los usuarios que apliquen el parche para mitigar el riesgo de posibles ataques. La explotación de CVE-2024-38193 podría provocar un escalamiento de privilegios, lo que permitiría a los atacantes obtener acceso no autorizado a datos confidenciales y potencialmente tomar el control total del sistema.

Fuente: SecurityOnline

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!