Forskare upptäcker sårbarhet i Win32k OS-komponent

Ny information har dykt upp om en nyligen korrigerad säkerhetssårbarhet i Microsoft Windows som aktivt utnyttjades av hotaktörer för att få förhöjda privilegier på drabbade system.

Sårbarheten, identifierad som CVE-2023-29336, har en allvarlighetsgrad på 7,8 och hänför sig till ett privilegierat fel i Win32k-komponenten.

Enligt Microsofts råd som släpptes som en del av Patch Tuesday-uppdateringarna förra månaden, kan framgångsrikt utnyttjande av denna sårbarhet ge en angripare SYSTEM-privilegier.

Upptäckten och rapporteringen av denna brist krediterades Avast-forskarna Jan Vojtěšek, Milánek och Luigino Camastra.

Win32k.sys, en drivrutin i kärnläge som är avgörande för Windows-arkitekturen, är ansvarig för att hantera grafiska enhetsgränssnitt (GUI) och Windows.

Exakt attackväg inte klar

Även om de exakta detaljerna om hur hotaktörer utnyttjade denna sårbarhet i det vilda ännu inte är kända, har Numen Cyber, ett cybersäkerhetsföretag baserat i Singapore, omvänd konstruktion av Microsoft-patchen och utvecklat en proof-of-concept (PoC)-exploat för Windows Server 2016.

Numen Cyber betonade att sårbarheten förlitade sig på en läckt kärnhandtagsadress i heapminnet, vilket i slutändan möjliggjorde en läs-skriv-primitiv.

Medan Win32k-sårbarheter har varit kända tidigare, noterade Numen Cyber att Microsoft försökte omfaktorisera denna del av kärnkoden med hjälp av Rust i den senaste Windows 11-förhandsversionen. Denna ansträngning syftar till att mildra sådana sårbarheter i det nya systemet framöver.

Numen Cyber skiljer sig från traditionella Web3-säkerhetsföretag genom att prioritera avancerade säkerhetsfunktioner, särskilt med fokus på säkerhetsattacker och försvarsfunktioner på OS-nivå. Deras produkter och tjänster tillhandahåller banbrytande lösningar för att möta de unika säkerhetsutmaningarna med Web3.