1. Tổng quan và phân tích
Lỗ hổng CVE-2024-35250 là một lỗi nghiêm trọng trong Windows Kernel-Mode Drivers, cho phép kẻ tấn công nâng cao đặc quyền lên cấp SYSTEM. Lỗ hổng này ảnh hưởng đến nhiều phiên bản Windows bao gồm Windows 11 và các phiên bản Windows Server. Nó đặc biệt nguy hiểm vì cho phép kẻ tấn công bỏ qua các biện pháp bảo mật và thực thi mã tùy ý với quyền SYSTEM và POC (Proof-of-Concept) đã được đăng tải trên GitHub.
Lỗ hổng này được phát hiện lần đầu khi các đơn vị sử dụng để khai thác thành công tại sự kiện Pwn2Own Vancouver 2024 xâm nhập vào Windows 11, PoC exploit (Proof-of-Concept) mới đây đã được đăng tải trên GitHub chỉ ra cách kẻ tấn công có thể khai thác lỗi này để thực thi mã tùy ý với quyền SYSTEM 1 cách đơn giản.
Qua đánh giá phát hiện CVE-2024-35250 lỗi nằm ở Kernel Streaming xử lý các yêu cầu IOCTL_KS_PROPERTY. Kẻ tấn công có thể thao túng trường RequestorMode trong IRP (I/O Request Packet) để vượt qua các kiểm tra bảo mật. Lỗ hổng xuất phát từ lỗi logic trong kiến trúc của Kernel Streaming, cho phép thực hiện các thao tác IOCTL_KS_PROPERTY một cách tùy ý. Bằng cách sử dụng KSPROPERTY_TYPE_UNSERIALIZESET, kẻ tấn công có thể thao tác trên nhiều thuộc tính thông qua một lần gọi duy nhất
***Liên quan
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35250
- https://cybersecuritynews.com/poc-exploit-windows-kernel-mode-drivers/
- https://github.com/varwara/CVE-2024-35250
