O vulnerabilitate din Windows permite escaladarea privilegiilor
Sursă: https://cybersecuritynews.com
O vulnerabilitate recent remediată într-un driver Windows de bază ar putea permite unui atacator local să execute cod cu cele mai înalte privilegii de system.
Vulnerabilitatea, identificată ca CVE-2025-53149, este o eroare de tip heap-based buffer overflow descoperită în Kernel Streaming WOW Thunk Service Driver (ksthunk.sys). Microsoft a remediat-o în actualizările de securitate lansate în luna august 2025.
Componenta afectată, ksthunk.sys, este un driver fundamental pentru menținerea compatibilității cu versiunile anterioare ale Windows pe 64 de biți.
Funcția sa principală este aceea de a funcționa ca un layer thunk, o mică bucată de cod care traduce cererile între diferite arhitecturi de sistem. Mai precis, acesta face legătura între aplicațiile în modul utilizator pe 32 de biți și driverele în modul kernel pe 64 de biți care gestionează fluxurile de date în timp real pentru audio și video.
Acest driver face parte din framework-ul mai amplu Kernel Streaming (KS), o tehnologie Windows fundamentală pentru gestionarea datelor multimedia de înaltă performanță și cu latență redusă.
Vulnerabilitatea se află în funcția CKSAutomationThunk::HandleArrayProperty() a driverului ksthunk.sys (SHA-1: 68B5B527550731DD657BF8F1E8FA31E895A7F176).
Un atacator poate declanșa această vulnerabilitate trimițând o solicitare malițioasă dintr-o aplicație pe 32 de biți către un dispozitiv care utilizează interfața Kernel Streaming.
Principalul aspect al vulnerabilității constă în modul în care driverul gestionează solicitările de obținere a unei informații specifice de la un dispozitiv, cum ar fi KSPROPSETID_VPConfig.
Bucata de cod vulnerabilă apelează o funcție pentru a determina dimensiunea datelor care trebuie returnate. Apoi se pregătește să copieze aceste date într-un buffer de output furnizat de aplicația în modul utilizator. Eroarea critică este lipsa unei etape de validare.
Funcția verifică dacă bufferul de output furnizat nu este gol, dar nu verifică dacă bufferul este suficient de mare pentru a stoca datele pe care urmează să le primească de la dispozitiv.
O exploatare reușită ar putea permite unui atacator să corupă memoria kernelului și să execute cod arbitrar cu privilegii la nivel de kernel.
Microsoft a remediat vulnerabilitatea în versiunea patch-uită a ksthunk.sys. Driverul actualizat include acum verificarea necesară a dimensiunii, asigurându-se că bufferul de output este suficient de mare înainte de începerea operațiunii de copiere. Dacă bufferul este prea mic, operațiunea este întreruptă în siguranță.
Utilizatorilor și administratorilor li se recomandă insistent să aplice cele mai recente actualizări de securitate Windows pentru a se asigura că sistemele lor sunt protejate față de CVE-2025-53149 și alte tipuri de amenințări.
Sursă: https://cybersecuritynews.com/windows-heap-based-buffer-overflow-vulnerability/
