Security Week 42: атака MysterySnail и zero-day в Windows

На прошлой неделе был выпущен регулярный пакет заплаток от Microsoft, в который включены патчи для четырех критических уязвимостей. Одну из уязвимостей, уже активно эксплуатируемую, обнаружили специалисты «Лаборатории Касперского»: CVE-2021-40449 нашли «в дикой природе» — эксплойт для нее является частью атаки, названной MysterySnail.

Проблема типа use-after-free присутствует в драйвере Win32k, а точнее, в функции NtGdiResetDC. Авторы исследования показали, как двойное обращение к ней в итоге позволяет вызвать произвольную функцию ядра с необходимыми параметрами и повысить привилегии. Уязвимость актуальна для всех версий Windows, начиная с Vista и вплоть до свежих билдов Windows 10 и Windows Server 2019. Анализ реальных случаев заражения показал, что эксплойт был нацелен в основном на серверные версии Windows.
Читать дальше →