Убийца Windows: CVE-2024-38106 даёт хакерам доступ прямо к ядру системы

Второго сентября исследователь безопасности Сергей Корниенко из компании PixiePoint опубликовал анализ и демонстрацию эксплуатации критической уязвимости нулевого дня в ядре Windows, известной как CVE-2024-38106. Эта уязвимость повышения привилегий уже активно используется злоумышленниками, что требует срочных действий от специалистов по безопасности и пользователей.

CVE-2024-38106 (оценка по шкале CVSS: 7.0) находится в ядре операционной системы Windows, конкретнее в процессе «ntoskrnl.exe». Этот процесс является ключевым компонентом Windows, обеспечивающим взаимодействие между аппаратным и программным обеспечением, а также поддерживающим работу многих важных сервисов системы.

Уязвимость связана с Race Condition — ситуацией, при которой результат зависит от последовательности или времени выполнения событий. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может повысить свои привилегии до уровня SYSTEM, что фактически даёт ему полный контроль над заражённым устройством.

Об уязвимости было ответственно сообщено компании Microsoft, а обновление, исправляющее CVE-2024-38106 уже вышло. Корниенко также проанализировал и обновление, исправляющее уязвимость, и отметил важные изменения в двух ключевых функциях: VslGetSetSecureContext() и NtSetInformationWorkerFactory(). Эти изменения были необходимы для устранения Race Condition и повышения безопасности системы.

В частности, были введены механизмы блокировки для операций, связанных с безопасным режимом ядра Virtualization-Based Security (VBS), а также добавлена проверка флагов в процессе NtShutdownWorkerFactory(), что уменьшило вероятность эксплуатации уязвимости.

Корниенко также выложил PoC-эксплойт, показывающий, как злоумышленники могут использовать CVE-2024-38106 для повышения привилегий. Публикация эксплойта подчёркивает потенциальные риски для домашних и корпоративных пользователей, если уязвимость не будет своевременно устранена.

По данным PixiePoint, уязвимость активно использовалась северокорейской хакерской группировкой, известной как Citrine Sleet. Зарегистрированные атаки начиналась с перенаправления жертв на вредоносный сайт «voyagorclub[.]space». Предполагается, что для этого применялись методы социальной инженерии.

После попадания на сайт использовалась уязвимость удалённого исполнения кода CVE-2024-7971, что позволяло взломщикам получить доступ к целевой системе. Далее они скачивали и выполняли код, направленный на эксплуатацию уязвимости CVE-2024-38106 для обхода песочницы и повышения привилегий. Это дало возможность внедрить вредоносное ПО — руткит FudModule.

Особая опасность руткита FudModule заключается в применении техники Direct Kernel Object Manipulation (DKOM), которая позволяет злоумышленникам изменять механизмы безопасности ядра Windows. Это делает его обнаружение и удаление чрезвычайно сложным.

Microsoft оперативно выпустила патч для уязвимости CVE-2024-38106 в рамках августовского обновления 2024 года. Однако тот факт, что уязвимость уже использовалась в атаках до выхода обновления, подчёркивает важность своевременной установки патчей и постоянной бдительности в сфере кибербезопасности.