- 13,854
- 20
- 8 Ноя 2022
Эксперты проанализировали критическую уязвимость в TCP/IP драйвере.
Исследователь безопасности Маркус Хатчинс Для просмотра ссылки Войдиили Зарегистрируйся , в которой анализируется CVE-2024-38063 — критическая уязвимость в Windows 10/11, позволяющая выполнить удаленное выполнение кода (RCE) через пакеты IPv6. Уязвимость получила оценку 9,8 по шкале CVSS, что подчеркивает ее опасность.
В своем отчете Хатчинс описывает, как он изучал уязвимость, начиная с момента выпуска последнего патча Windows 13 августа. Он отметил, что данная уязвимость затрагивает наиболее легко доступную часть ядра Windows — драйвер <code>tcpip.sys</code>, отвечающий за обработку TCP/IP пакетов.
<blockquote>"Разбор патча для выявления изменений в коде занял мгновение. Было внесено только одно изменение в функцию <code>Ipv6pProcessOptions()</code>, что подтвердило наличие уязвимости. Это был самый легкий анализ патча, который я когда-либо делал," — пишет Хатчинс. </blockquote> Несмотря на простоту обнаружения уязвимости, процесс реверс-инжиниринга и разработки рабочего эксплойта оказался значительно сложнее. Исследователь провел недели, разбирая код и тестируя различные сценарии. Он создал proof-of-concept (PoC), который вызывает DoS-атаку, но не приводит к полноценному удаленному выполнению кода.
<blockquote>"Я хотел опубликовать рабочий PoC для DoS, но оказалось крайне трудно надежно спровоцировать баг, что делает его малопригодным для широкого использования," — отмечает Хатчинс. </blockquote> Тем не менее, другой исследователь, @ynwarcs, сумел найти способ эксплуатации уязвимости, что подтверждается опубликованным им PoC. Этот код доступен по ссылке Для просмотра ссылки Войдиили Зарегистрируйся .
Хатчинс завершает отчет, подчеркивая важность изучения подобных уязвимостей и делится своим опытом:
<blockquote>"Я многому научился, работая над этим исследованием, и надеюсь, что статья оказалась полезной и для вас," — заключает он. </blockquote>
Исследователь безопасности Маркус Хатчинс Для просмотра ссылки Войди
В своем отчете Хатчинс описывает, как он изучал уязвимость, начиная с момента выпуска последнего патча Windows 13 августа. Он отметил, что данная уязвимость затрагивает наиболее легко доступную часть ядра Windows — драйвер <code>tcpip.sys</code>, отвечающий за обработку TCP/IP пакетов.
<blockquote>"Разбор патча для выявления изменений в коде занял мгновение. Было внесено только одно изменение в функцию <code>Ipv6pProcessOptions()</code>, что подтвердило наличие уязвимости. Это был самый легкий анализ патча, который я когда-либо делал," — пишет Хатчинс. </blockquote> Несмотря на простоту обнаружения уязвимости, процесс реверс-инжиниринга и разработки рабочего эксплойта оказался значительно сложнее. Исследователь провел недели, разбирая код и тестируя различные сценарии. Он создал proof-of-concept (PoC), который вызывает DoS-атаку, но не приводит к полноценному удаленному выполнению кода.
<blockquote>"Я хотел опубликовать рабочий PoC для DoS, но оказалось крайне трудно надежно спровоцировать баг, что делает его малопригодным для широкого использования," — отмечает Хатчинс. </blockquote> Тем не менее, другой исследователь, @ynwarcs, сумел найти способ эксплуатации уязвимости, что подтверждается опубликованным им PoC. Этот код доступен по ссылке Для просмотра ссылки Войди
Хатчинс завершает отчет, подчеркивая важность изучения подобных уязвимостей и делится своим опытом:
<blockquote>"Я многому научился, работая над этим исследованием, и надеюсь, что статья оказалась полезной и для вас," — заключает он. </blockquote>
- Источник новости
- www.securitylab.ru
