Microsoft, Ağustos 2024 için Patch Tuesday sırasında birden fazla güvenlik açığı için birkaç yama yayınladı. Microsoft tarafından listelenen güvenlik açıklarından biri CVE-2024-38106 idi.
Bu güvenlik açığı, Windows 10, 11 ve Windows Server (2016, 2019, 2022) dahil olmak üzere birden fazla Microsoft Windows işletim sistemini etkileyen Windows Kernel Ayrıcalık Yükseltme ile ilişkilidir.
Microsoft ayrıca bu açığın tehdit aktörleri tarafından aktif olarak kullanıldığını belirtti.
Nitekim Microsoft da bu güvenlik açığından yararlanmak için herhangi bir kullanıcı etkileşimine gerek olmadığını belirtmişti.
Bu güvenlik açığının ciddiyeti 7.0 olarak verildi (Yüksek).
Cyber Security News ile paylaşılan raporlara göre CVE-2024-38106 bir yarış durumuyla bağlantılıydı.
Bu güvenlik açığının başarılı bir şekilde istismar edilmesi, tehdit aktörünün etkilenen sistemde SİSTEM düzeyinde ayrıcalıklar elde etmesine yol açabilir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Ayrıca söz konusu açığın istismarının biraz karmaşık olduğu belirtildi.
Pixiepoint’teki araştırmacılar bu güvenlik açığı için yamayı araştırdı. Düzeltmenin Microsoft tarafından düzeltilen diğer birkaç hatadan da sorumlu olan ntoskrnl.exe üzerinde yapıldığı ortaya çıktı.
Daha detaylı analiz edildiğinde, VslGetSetSecureContext() ve NtSetInformationWorkerFactory() fonksiyonlarında iki güvenlik değişikliğinin yapıldığı görüldü.
VslGetSetSecureContext(), bir yarış koşulunu hafifletmek için bir düzeltmeyle uygulandı. Bu, işlevin VBS güvenli çekirdeğiyle ilgili olan VslpEnterIumSecureMode() işlemini düzgün bir şekilde kilitlemesini sağlayarak yapıldı.
NtSetInformationWorkerFactory(), yarış durumunu hafifletmek için benzer bir düzeltmeyle uygulandı.
Ancak burada bu, NtShutdownWorkerFactory() –> ExpShutdownWorkerFactory() içine bir bayrak eklenerek yapıldı:
Ancak, kavram kanıtı kodu aşağıda bulunabilir. Kavram kanıtına göre, savunmasız bir duruma ulaşmak için işçi fabrika nesne tutamaklarında NtClose() çağrısını tetikler.
Bu, KiInsertTimer2WithCollectionLockHeld() işçi fabrika nesnesine ulaşılmasına ve ilişkili zamanlayıcının serbest bırakılmasına neden olacaktır.
Kuruluşlar, güvenlik açığı bulunan ürünlerin istismar edilmesini önlemek için gerekli yamaları uygulamalıdır.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!