Анализ CVE-2024-38063: как один пакет может захватить ваш компьютер

Исследователь безопасности Маркус Хатчинс опубликовал статью , в которой анализируется CVE-2024-38063 — критическая уязвимость в Windows 10/11, позволяющая выполнить удаленное выполнение кода (RCE) через пакеты IPv6. Уязвимость получила оценку 9,8 по шкале CVSS, что подчеркивает ее опасность.

В своем отчете Хатчинс описывает, как он изучал уязвимость, начиная с момента выпуска последнего патча Windows 13 августа. Он отметил, что данная уязвимость затрагивает наиболее легко доступную часть ядра Windows — драйвер tcpip.sys, отвечающий за обработку TCP/IP пакетов.

"Разбор патча для выявления изменений в коде занял мгновение. Было внесено только одно изменение в функцию Ipv6pProcessOptions(), что подтвердило наличие уязвимости. Это был самый легкий анализ патча, который я когда-либо делал," — пишет Хатчинс.

Несмотря на простоту обнаружения уязвимости, процесс реверс-инжиниринга и разработки рабочего эксплойта оказался значительно сложнее. Исследователь провел недели, разбирая код и тестируя различные сценарии. Он создал proof-of-concept (PoC), который вызывает DoS-атаку, но не приводит к полноценному удаленному выполнению кода.

"Я хотел опубликовать рабочий PoC для DoS, но оказалось крайне трудно надежно спровоцировать баг, что делает его малопригодным для широкого использования," — отмечает Хатчинс.

Тем не менее, другой исследователь, @ynwarcs, сумел найти способ эксплуатации уязвимости, что подтверждается опубликованным им PoC. Этот код доступен по ссылке здесь .

Хатчинс завершает отчет, подчеркивая важность изучения подобных уязвимостей и делится своим опытом:

"Я многому научился, работая над этим исследованием, и надеюсь, что статья оказалась полезной и для вас," — заключает он.