В проводнике Windows обнаружена уязвимость высокого уровня

С каждым днем вопросы безопасности в мире технологий становятся все сложнее, а новые уязвимости продолжают угрожать нашим системам. Уязвимость, обнаруженная в Windows File Explorer под идентификатором CVE-2024-38100, является ярким примером этой проблемы. Эта уязвимость вызывает обеспокоенность среди специалистов по кибербезопасности и побуждает организации усиливать меры предосторожности.

CVE-2024-38100 — это уязвимость категории «Повышение привилегий» (Elevation of Privilege), которая позволяет злоумышленникам получить права администратора на уязвимых системах.

Данная уязвимость связана с объектом Distributed Component Object Model (DCOM) в Windows File Explorer. В частности, объект ShellWindows DCOM (CLSID {9BA05972-F6A8-11CF-A442-00A0C90A8F39}) функционирует в контексте безопасности текущего пользователя, вошедшего в систему.

Однако из-за ошибок в управлении правами и доступом злоумышленники смогли воспользоваться этой уязвимостью через File Explorer, работающий в высоком уровне безопасности.

Злоумышленники использовали следующие методы для эксплуатации уязвимости:

• Использование технологии COM Cross-Session Activation для создания объекта ShellWindows в сеансе с повышенными привилегиями (например, в администраторском).
• Выполнение команд или запуск вредоносного кода с помощью метода ShellExecute.

Эта уязвимость позволяет злоумышленникам:

• Получать несанкционированный доступ к конфиденциальным данным.
• Устанавливать вредоносные программы.
• Изменять настройки системы или полностью брать ее под контроль.

Опасность уязвимости по шкале CVSS v3.1 оценена на уровне 7.8, что свидетельствует о высокой степени риска. Для ее эксплуатации злоумышленникам достаточно локального доступа к системе.

Уязвимость CVE-2024-38100 затрагивает следующие версии Windows Server:

• Windows Server 2016: версии ниже 10.0.14393.7159.
• Windows Server 2019: версии ниже 10.0.17763.6054.
• Windows Server 2022: версии ниже 10.0.20348.2582.
• Windows Server 2022 (23H2): версии ниже 10.0.25398.1009.

Компания Microsoft устранила эту уязвимость в июльском обновлении безопасности 2024 года (KB5040434). Это обновление ограничило права аутентифицированных пользователей для File Explorer, работающего в высоком уровне безопасности.

Для защиты от этой уязвимости рекомендуется предпринять следующие меры:

1. Обновите системы. Установите последние обновления безопасности, выпущенные Microsoft, для всех затронутых версий Windows.
2. Ограничьте привилегии. Предоставляйте пользователям только минимально необходимые права, избегая избыточного использования прав администратора.
3. Мониторьте сеть. Отслеживайте подозрительную активность, такую как изменения DLL-файлов или выполнение подозрительных команд.
4. Обучайте пользователей. Расскажите о рисках загрузки подозрительных программ или открытия файлов из ненадежных источников.

Уязвимость CVE-2024-38100 в очередной раз подчеркивает важность своевременного принятия мер по обеспечению безопасности и регулярного обновления систем. Программное обеспечение и системы, не соответствующие современным требованиям, могут стать причиной новых угроз. Каждая организация должна постоянно укреплять свою политику безопасности.

Каждый шаг в обеспечении сетевой безопасности имеет значение! Начните с обновления систем уже сегодня и сделайте безопасность приоритетом!