TTL OSINT

PhysMem(e): Когда драйверы ядра заглядывают в память CVE-2024-41498

В этой статье рассматривается уязвимость в драйвере Windows IOMap64.sys (CVE-2024-41498), которая позволяет злоумышленнику считывать или записывать данные со всей физической памяти (RAM). Драйвер, подписанный ASUS, используется их программным обеспечением для управления аппаратным обеспечением устройства. Анализ кода драйвера показывает, что он использует большое количество логики и обрабатывает события IRP_MJ_DEVICE_CONTROL, которые используются для IRPS DeviceIoControl. Драйвер также использует API управления памятью (Mm) MmMapIoSpace для преобразования физического адреса памяти в виртуальный адрес. Уязвимость заключается в том, что драйвер неправильно обрабатывает отключение отображения памяти, что может привести к несанкционированному доступу к конфиденциальным данным. Чтобы предотвратить подобные злоупотребления, Windows ведет список уязвимых драйверов, загрузка которых запрещена. В статье также приводится PoC, демонстрирующий возможность использования, и правило YARA и индикаторы компрометации (IOCs) для обнаружения.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.reveng.ai/physmem-e-when-kernel-drivers-peek-into-memory/

Выборочные показатели Compromise:

• d78d7516dbb8cad08f355a070790d6dd629dcf58d816855b958669fecb8b68b5

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал