Windows Zero-Day Vulnerability CVE-2024-38193 Exploited in the Wild: PoC Published
2024/12/08 SecurityOnline — Windows の解放済みメモリの使用の脆弱性 CVE-2024-38193 (CVSS:7.8) が、ドライバ afd.sys において発見された。この脆弱性を悪用する攻撃者は、特権を昇格させて任意のコードを実行することで、Windows システムに重大な脅威をもたらす可能性を手にする。Exodus Intelligence のセキュリティ研究者である Luca Ginex は、この脆弱性に関する詳細な分析を行い、悪用のプロセスについて貴重な洞察を提供している。
この脆弱性 CVE-2024-38193 を発見し、 Microsoft に報告した報告したのは、セキュリティ企業 Gen Digital である。この脆弱性の悪用に成功した攻撃者は、通常のセキュリティ制限を回避し、管理者であってもアクセス許されない、機密性の高い SYSTEM 領域のへのアクセスを達成すると、同社は指摘している。この攻撃は複雑かつ巧妙であり、闇市場では数十万ドルの価値を持つ可能性がある。
研究者たちは追跡と帰属の結果を公表し、この脆弱性を悪用する Lazarus Group が、FudModule として知られるマルウェアをインストールしていることを明らかにした。このマルウェアは極めて高度なものであり、AhnLab と ESET の研究者たちが、2022年に初めて検出したものである。
脆弱性 CVE-2024-38193 が存在する、Windows ソケットの Registered I/O (RIO) エクステンションは、ソケット・プログラミングを最適化し、システムコールを減らすために設計されたものである。
この脆弱性は、afd.sys ドライバにおける、2つの関数 AfdRioGetAndCacheBuffer()/AfdRioDereferenceBuffer() の競合状態に起因する。Ginex による PoC の説明は、「これらの関数間の競合状態により、悪意のユーザーは AfdRioGetAndCacheBuffer() 関数を強制的に実行させ、AfdRioDereferenceBuffer() 関数により解放された、登録済みのバッファ構造の操作を可能にする」というものだ。
Ginex が概説しているように、脆弱性 CVE-2024-38193 の悪用には、複数の段階的なプロセスが関与する。
- ヒープスプレー:攻撃者は、非ページプールに偽の RIOBuffer 構造体を散布し、脆弱性がトリガーされるための道筋となる “抜け穴” を作成する。
- 脆弱性のトリガー:攻撃者は2つのスレッドを同時に生成することで、バッファが使用している状態で登録を解除し、使用後に解放されるシナリオを引き起こす。
- 特権の昇格:解放された RIOBuffer 構造を悪用する攻撃者は、キャッシュの内容を制御し、特権昇格を達成する。
このエクスプロイトは、任意書き込み機能を利用して _SEP_TOKEN_PRIVILEGES 構造を上書きし、NT AUTHORITY\SYSTEM 特権を付与するものとなる。
Windows の脆弱性 CVE-2024-38193 ですが、お隣のキュレーション・チームに聞いてみたところ、2024年8月の Patch Tuesday で修正されたものとのことです。したがって、英文のタイトルにあった “ゼロデイ” は反映していません。それから、数ヶ月が経ちましたが、Exodus が分析し、PoC を提供したことで、その影響の大きさが再認識されたという状況です。ご利用のチームは、ご注意ください。よろしければ、Windows で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.