Обнаружена уязвимость FakePotato в Windows, выпущено обновление

Уязвимость в обработке обоев Windows: FakePotato

В механизме обработки обоев Windows выявлена значительная уязвимость, которая потенциально может предоставить злоумышленникам системные привилегии на затронутых устройствах. Этот недостаток, отслеживаемый как CVE-2024-38100 и известный под названием «FakePotato», был раскрыт исследователем безопасности Андреа Пиерини.

Эксплойт FakePotato использует слабость в способе обработки файлов обоев Windows. Манипулируя определенными свойствами тщательно созданного изображения обоев, злоумышленник с ограниченным доступом может повысить свои привилегии до уровня учетной записи SYSTEM, получая полный контроль над устройством.

• Требует локального доступа или возможности разместить вредоносный файл обоев на целевой системе
• Затрагивает несколько версий Windows, включая Windows 10 и Windows Server 2019
• Эксплуатирует процесс обработки обоев для получения привилегий SYSTEM

Уязвимость повышения привилегий в Windows File Explorer (CVE-2024-38100) получила базовую оценку CVSS v3.x 7.8, что указывает на высокий уровень серьезности. Этот недостаток безопасности затрагивает несколько версий Windows Server, включая:

• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2022 23H2

Детали утечки эксплойта обоев

Доказательство концепции (PoC) эксплойта, созданное пользователем GitHub Майклом Жмайло, иллюстрирует, как эта уязвимость может быть использована для получения несанкционированного доступа к учетным данным пользователей. Эксплойт работает следующим образом:

1. Злоумышленник с низкоуровневой учетной записью на целевой системе запускает инструмент эксплойта.
2. Инструмент нацелен на конкретную пользовательскую сессию, обычно с более высокими привилегиями.
3. Манипулируя Windows File Explorer, эксплойт заставляет целевую сессию попытаться подключиться к вредоносному SMB-ресурсу.
4. Эта попытка подключения приводит к утечке хэша NetNTLM целевого пользователя.

Успешная эксплуатация этой уязвимости может позволить злоумышленникам:

• Повышать привилегии на затронутых системах
• Получать несанкционированный доступ к конфиденциальной информации пользователей
• Потенциально перемещаться по сети, используя полученные учетные данные

Эксперты по безопасности предупреждают, что такие эксплойты представляют значительную угрозу, особенно в корпоративных средах, где латеральное перемещение и повышение привилегий являются критическими элементами сложных постоянных угроз (APT).

В ответ на это Microsoft устранила эту уязвимость через обновление безопасности KB5040434. Пользователям и системным администраторам настоятельно рекомендуется немедленно применить этот патч для снижения риска эксплуатации. Кроме того, организациям следует рассмотреть возможность внедрения следующих мер безопасности:

• Регулярно обновлять все системы и приложения Windows
• Реализовать принцип минимальных привилегий для учетных записей пользователей
• Мониторить подозрительную активность, связанную с попытками повышения привилегий
• Использовать надежные методы аутентификации и рассмотреть возможность многофакторной аутентификации

Хотя Microsoft решила эту конкретную уязвимость, это подчеркивает постоянную необходимость поддержания обновленных систем и принятия надежных практик безопасности для защиты от новых угроз. Поскольку киберугрозы продолжают развиваться, важно оставаться бдительными по отношению к последним уязвимостям и оперативно применять обновления безопасности для сохранения целостности и безопасности систем и сетей на базе Windows.

Вы из команд SOC и DFIR? – Анализируйте Malware Inc.

Обновлено: 17.06.2026