CVE-2024-30088

Nome do Software Vulnerável e Versões Afetadas Windows 10 versões 1809 a 22H2 Windows 11 versões 21H2 a 23H2 Windows Server 2019 Windows Server 2022 Windows Server 2025 Instalações do Server Core anteriores às atualizações de fevereiro de 2025

Description Um problema de elevação de privilégios locais existe no Kernel do Windows devido a uma condição de corrida (race condition) e sincronização inadequada no Object Manager. A falha está especificamente ligada a um erro na implementação da função NtQueryInformationToken() e a uma multiplicação de inteiros não verificada que leva a um estouro de inteiro (integer overflow). Isso faz com que o kernel aloque um buffer menor do que o necessário, resultando em uma gravação fora dos limites (out-of-bounds write) que permite aos atacantes corromper a memória do kernel e substituir tokens de processo pelo token SYSTEM. Isso pode levar a um bypass completo do Controle de Conta de Usuário (UAC) e das barreiras de segurança, permitindo a instalação de rootkits, bootkits e roubo de credenciais da memória LSA. O problema foi explorado ativamente pelo ator de ameaças iraniano OilRig (APT34) em campanhas de ciberespionagem visando infraestruturas nos Emirados Árabes Unidos e na região do Golfo.

Recommendations Atualize todos os sistemas afetados para a Atualização de Segurança KB5034763 ou atualizações cumulativas posteriores. Ative a Segurança Baseada em Virtualização (VBS) e a Integridade de Código Protegida por Hipervisor (HVCI) onde for suportado para reforçar os endpoints.