Уязвимость в обработке обоев Windows: FakePotato
В механизме обработки обоев Windows выявлена значительная уязвимость, которая потенциально может предоставить злоумышленникам системные привилегии на затронутых устройствах. Этот недостаток, отслеживаемый как CVE-2024-38100 и известный под названием «FakePotato», был раскрыт исследователем безопасности Андреа Пиерини.
Эксплойт FakePotato использует слабость в способе обработки файлов обоев Windows. Манипулируя определенными свойствами тщательно созданного изображения обоев, злоумышленник с ограниченным доступом может повысить свои привилегии до уровня учетной записи SYSTEM, получая полный контроль над устройством.
- Требует локального доступа или возможности разместить вредоносный файл обоев на целевой системе
- Затрагивает несколько версий Windows, включая Windows 10 и Windows Server 2019
- Эксплуатирует процесс обработки обоев для получения привилегий SYSTEM
Уязвимость повышения привилегий в Windows File Explorer (CVE-2024-38100) получила базовую оценку CVSS v3.x 7.8, что указывает на высокий уровень серьезности. Этот недостаток безопасности затрагивает несколько версий Windows Server, включая:
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2022 23H2
Детали утечки эксплойта обоев
Доказательство концепции (PoC) эксплойта, созданное пользователем GitHub Майклом Жмайло, иллюстрирует, как эта уязвимость может быть использована для получения несанкционированного доступа к учетным данным пользователей. Эксплойт работает следующим образом:
- Злоумышленник с низкоуровневой учетной записью на целевой системе запускает инструмент эксплойта.
- Инструмент нацелен на конкретную пользовательскую сессию, обычно с более высокими привилегиями.
- Манипулируя Windows File Explorer, эксплойт заставляет целевую сессию попытаться подключиться к вредоносному SMB-ресурсу.
- Эта попытка подключения приводит к утечке хэша NetNTLM целевого пользователя.
Успешная эксплуатация этой уязвимости может позволить злоумышленникам:
- Повышать привилегии на затронутых системах
- Получать несанкционированный доступ к конфиденциальной информации пользователей
- Потенциально перемещаться по сети, используя полученные учетные данные
Эксперты по безопасности предупреждают, что такие эксплойты представляют значительную угрозу, особенно в корпоративных средах, где латеральное перемещение и повышение привилегий являются критическими элементами сложных постоянных угроз (APT).
В ответ на это Microsoft устранила эту уязвимость через обновление безопасности KB5040434. Пользователям и системным администраторам настоятельно рекомендуется немедленно применить этот патч для снижения риска эксплуатации. Кроме того, организациям следует рассмотреть возможность внедрения следующих мер безопасности:
- Регулярно обновлять все системы и приложения Windows
- Реализовать принцип минимальных привилегий для учетных записей пользователей
- Мониторить подозрительную активность, связанную с попытками повышения привилегий
- Использовать надежные методы аутентификации и рассмотреть возможность многофакторной аутентификации
Хотя Microsoft решила эту конкретную уязвимость, это подчеркивает постоянную необходимость поддержания обновленных систем и принятия надежных практик безопасности для защиты от новых угроз. Поскольку киберугрозы продолжают развиваться, важно оставаться бдительными по отношению к последним уязвимостям и оперативно применять обновления безопасности для сохранения целостности и безопасности систем и сетей на базе Windows.