Forskere opdager sårbarhed i Win32k OS-komponent

Ny information er dukket op om en nyligt rettet sikkerhedssårbarhed i Microsoft Windows, der aktivt blev udnyttet af trusselsaktører til at opnå forhøjede rettigheder på berørte systemer.

Sårbarheden, identificeret som CVE-2023-29336, har en alvorlighedsgrad på 7,8 og vedrører en udvidelse af privilegiefejl i Win32k-komponenten.

Ifølge Microsofts meddelelse, der blev udgivet som en del af Patch Tuesday-opdateringerne i sidste måned, kunne vellykket udnyttelse af denne sårbarhed give en angriber SYSTEM-rettigheder.

Opdagelsen og rapporteringen af denne fejl blev krediteret Avast-forskerne Jan Vojtěšek, Milánek og Luigino Camastra.

Win32k.sys, en kernetilstandsdriver, der er afgørende for Windows-arkitekturen, er ansvarlig for styring af grafiske enhedsgrænseflader (GUI) og vinduer.

Den nøjagtige angrebsrute er ikke klar

Selvom de præcise detaljer om, hvordan trusselsaktører udnyttede denne sårbarhed i naturen, endnu ikke er kendt, har Numen Cyber, en cybersikkerhedsvirksomhed baseret i Singapore, omvendt udviklet Microsoft-patchen og udviklet en proof-of-concept (PoC) udnyttelse til Windows Server 2016.

Numen Cyber fremhævede, at sårbarheden var afhængig af en lækket kernehåndtagsadresse i heap-hukommelsen, hvilket i sidste ende muliggjorde en læse-skrive-primitiv.

Mens Win32k-sårbarheder har været kendt i fortiden, bemærkede Numen Cyber, at Microsoft forsøgte at refaktorisere denne sektion af kernekoden ved hjælp af Rust i den seneste Windows 11-preview-version. Denne indsats har til formål at afbøde sådanne sårbarheder i det nye system fremover.

Numen Cyber adskiller sig fra traditionelle Web3-sikkerhedsvirksomheder ved at prioritere avancerede sikkerhedsfunktioner, især med fokus på sikkerhedsangreb og forsvarskapaciteter på OS-niveau. Deres produkter og tjenester leverer banebrydende løsninger til at løse de unikke sikkerhedsudfordringer ved Web3.