Especialistas em segurança da informação publicaram uma exploração PoC para uma vulnerabilidade de escalonamento de privilégios no driver Win32k que foi corrigida em maio.
Deixe-me lembrá-lo que este bug recebeu o identificador CVE-2023-29336 (7.8 pontos na escala CVSS) e foi descoberto por Avast pesquisadores. CVE-2023-29336 foi relatado que afeta sistemas em execução Windows 10 e Windows Servidor 2008, 2012, e 2016.
De volta em maio, Especialistas da Avast alertaram que já haviam registrado ataques a CVE-2023-29336, mas nada de concreto foi relatado sobre eles.
Também escrevemos isso Explorações para vulnerabilidades em três populares WordPress Plugins apareceram na rede, e também isso Milhares de GitHub Repositórios espalham malware disfarçado de exploits.
Também os especialistas em segurança da informação apontaram que Uma exploração PoC já está disponível para um problema crítico de RCE em Fortuna Produtos.
Por sua vez, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou este problema ao seu catálogo de vulnerabilidades exploráveis conhecidas (KEV), e instou as organizações a instalar patches até maio 30, 2023.
Agora, um mês após o lançamento do patch, analistas de Um Deus publicaram informações técnicas completas sobre a vulnerabilidade, bem como uma exploração PoC para Windows Server 2016.
Especialistas dizem que embora a vulnerabilidade não seja adequada para ataques ao Windows 11, representa um risco significativo para versões mais antigas do sistema operacional, incluindo versões mais antigas do Windows 10, Servidor Windows e Windows 8.
Em seu relatório, os pesquisadores explicam que experimentaram várias técnicas de manipulação de memória, gatilhos de exploração, e funções de leitura/gravação de memória, o que finalmente os ajudou a criar uma exploração funcional que fornece escalonamento confiável de privilégios para o nível SYSTEM.
Uma demonstração da exploração é mostrada no vídeo abaixo.
Geral, os pesquisadores concluíram que a exploração CVE-2023-29336 não parece ser particularmente difícil e provavelmente continuará a ser um risco de segurança para sistemas mais antigos.
Os engenheiros da Numen aconselham os administradores de sistema a observar operações anômalas de leitura/gravação de deslocamento ou objetos de janela relacionados, o que pode indicar exploração ativa de CVE-2023-29336 para escalonamento de privilégios locais.