Поскольку это самая популярная операционная система на планете, неудивительно, что хакеры постоянно атакуют Windows. Что еще более шокирует, так это то, сколько времени требуется Microsoft, чтобы исправить ситуацию. Компания из Редмонда исправляет уязвимость всего через шесть месяцев после того, как на нее обратили внимание эксперты по кибербезопасности.
Avast впервые обнаружил и сообщил об эксплойте администратора в ядро в августе 2023 года, продемонстрировав подтверждение концепции. Этот трюк, спрятанный в AppLocker, программе, отвечающей за внесение в белый список встроенного программного обеспечения Windows, является «Святым Граалем» уязвимостей руткитов.
Целью проекта, организованного северокорейскими распространителями вредоносного ПО Lazarus Group, является получение доступа к примитивам чтения/записи и установка вредоносного руткита FudModule незамеченной. В свою очередь, DDL обходит функции мониторинга системы, включая защитные брандмауэры и антивирусное ПО. Суть в том, что злоумышленники могут нанести ущерб ядрам жертв, и это происходит уже несколько месяцев.
«Злоумышленник в пользовательском пространстве может злоупотребить этим, чтобы обманом заставить ядро вызвать произвольный указатель», — сказал Avast. «Это представляло собой идеальный сценарий эксплуатации, позволяющий злоумышленнику вызвать произвольную функцию ядра с высокой степенью контроля над первым аргументом».
Если это звучит серьёзно, то это потому, что так оно и есть. Однако Microsoft не считает этот конкретный тип проблем приоритетным. На своей странице «Обслуживание безопасности» компания заявляет, что некоторые системы «не предназначены для обеспечения надежной границы безопасности». Поэтому исправление с помощью патча CVE-2024-21338 заняло до февраля.
Что еще хуже, компания, как сообщается, не признавала, что эксплойт активно использовался, пока Avast не опубликовал собственный отчет. Это подтверждение появилось в последующем обновлении. Microsoft не только должна быть более оперативной в своих методах обновления, но и должна быть более четкой в своих примечаниях к исправлениям, когда уязвимости нулевого дня находятся в стадии активной эксплуатации. Почему-то мы сомневаемся, что ситуация станет лучше, когда Windows 12 наконец выйдет.