Vulnerabilidade de escalonamento de privilégios do Windows 11

07/01/2025 mindsecblog Notícias 0

Vulnerabilidade de escalonamento de privilégios do Windows 11 permite que invasores executem código para obter acesso.

A Microsoft abordou rapidamente uma vulnerabilidade crítica de segurança que afeta o Windows 11 (versão 23H2), que pode permitir que invasores locais escalem privilégios para o nível do SISTEMA.

O pesquisador de segurança Alex Birnberg apresentou o exploit durante a renomada competição de segurança cibernética TyphoonPWN 2024, garantindo o terceiro lugar por sua demonstração da falha.

O TyphoonPWN, uma das principais competições de segurança cibernética, reúne pesquisadores de segurança de todo o mundo para expor vulnerabilidades em softwares amplamente utilizados.

A demonstração bem-sucedida de Alex Birnberg do CVE-2024-30085 destaca a importância de tais eventos na descoberta e resolução de falhas graves de segurança.

Detalhes da vulnerabilidade

A vulnerabilidade, oficialmente rastreada como CVE-2024-30085, reside no driver do minifiltro do Cloud Files ().cldflt.sys

O problema decorre da validação inadequada de dados fornecidos pelo usuário ao analisar pontos de nova análise.

Especificamente, o driver falha ao validar o tamanho dos dados antes de copiá-los para um buffer baseado em heap de comprimento fixo.

Ao explorar isso, um invasor pode aproveitar a vulnerabilidade para substituir a memória e executar código no contexto do sistema, concedendo-lhes privilégios elevados.

No Windows 11, versão 23H2, os invasores devem primeiro obter a capacidade de executar código com poucos privilégios no sistema de destino para explorar essa falha, aumentando significativamente o risco em ambientes onde os usuários já têm acesso limitado ao sistema.

Pesquisadores de segurança independentes analisaram a vulnerabilidade em detalhes, identificando sua causa raiz na função no driver de minifiltro do Windows Cloud Files.HsmIBitmapNORMALOpen

O manuseio inadequado de bitmaps de ponto de nova análise permite que os invasores ignorem verificações cruciais e introduzam dados maliciosos na memória do sistema.

A falha ocorre em cenários em que a verificação de comprimento dos dados de nova análise é ignorada em condições específicas durante as operações de arquivo. Esse tratamento inadequado pode ser explorado para substituir a memória, levando ao escalonamento de privilégios.

A exploração, demonstrada no TyphoonPWN 2024, envolveu a criação de um ponto de nova análise cuidadosamente elaborado para explorar a função vulnerável e obter privilégios no nível do SISTEMA.

A demonstração rendeu a Alex Birnberg o terceiro lugar na competição, destacando a criatividade e a profundidade técnica de sua análise.

Melhores práticas:

Restrinja o acesso administrativo a usuários confiáveis.
Atualize regularmente todos os sistemas Windows com os patches mais recentes.
Monitore a atividade do sistema em busca de comportamentos incomuns, especialmente em torno de operações de arquivo e pontos de nova análise.
Empregue sistemas de detecção de intrusão (IDS) para monitorar sinais de explorações.

As organizações também devem auditar o uso do driver de minifiltro do Cloud Files e garantir que o acesso externo a sistemas que exigem privilégios elevados seja minimizado.

Essa descoberta recente ressalta a importância crítica das práticas proativas de segurança cibernética. A resposta rápida da Microsoft em corrigir a vulnerabilidade reflete o compromisso do setor em proteger os usuários. Todos os usuários afetados devem priorizar as atualizações do sistema para garantir que seus dispositivos permaneçam protegidos contra essa e outras vulnerabilidades.

Após a divulgação de Birnberg, a Microsoft prontamente lançou um patch para mitigar a vulnerabilidade. Os usuários são fortemente encorajados a atualizar seus sistemas aplicando a atualização de segurança mais recente por meio do Guia oficial do Microsoft Update:

Os usuários são aconselhados a instalar imediatamente a atualização recente do Windows, que contém o patch para CVE-2024-30085