Windows Registry Vulnerability, PoC Exploit Released (CVE-2024-43641)

Critical Windows Registry vulnerability

Spread the love

A Critical Windows Registry vulnerability has been discovered, impacting multiple Windows versions, including Windows Server 2025, Windows 10, and Windows 11. With a CVSS score of 7.8, this flaw is considered highly severe.

Critical Windows Registry vulnerability

What Is the Issue?
The vulnerability stems from an integer overflow in the Windows Registry. This flaw could let attackers execute arbitrary code with elevated privileges, compromising system security.

The flaw affects: x64 and ARM64 systems and Some 32-bit systems running Windows Server (2008–2025) and Windows 10 or 11.

The issue falls under a new vulnerability class called False File Immutability (FFI), discovered by Gabriel Landau during his research presented at BlueHat IL 2024 and REcon Montreal 2024. FFI occurs when files are mistakenly considered unchangeable because they were opened without FILE_SHARE_WRITE. In certain conditions, attackers can still modify such files, leading to security flaws like double-read vulnerabilities.

How the PoC Exploit Works
The exploit targets a design flaw in Windows registry hive memory management. When registry hives are loaded, specific memory pressure conditions can cause the same memory pages to be fetched, evicted, and re-read.

The Exploit Process
A malicious SMB server manipulates registry hive data.
The attack exploits the bin header structure of the Windows Registry.
By controlling memory bits at specific offsets, the attacker causes memory corruption and gains unauthorized access.

Proof of Concept (PoC)
Mateusz Jurczyk from Google Project Zero released a PoC showing how a Linux-based SMB server running Python scripts can manipulate hive files. The PoC was tested on Windows 11 23H2 with July 2024 updates and successfully demonstrated the vulnerability.

Microsoft acknowledged the flaw and released:

KB5036980 (Preview) as an initial fix.
KB5037771 as the general fix for Windows 11 23H2.
Testing on other platforms is still ongoing.

To protect against this vulnerability, users and administrators should: Install Updates: Apply the latest Windows security updates.
Monitor Systems: Watch for signs of exploitation, especially on systems with high exposure.
Use Secure Servers: Ensure SMB servers are not accessible to unauthorized users.
The cybersecurity community continues to track this issue to ensure no active exploitation occurs in the wild.

For more about related topis click here

Read about Windows Registery Relay Attack click here

हिंदी में पड़े

विंडोज रजिस्ट्री में खामी, PoC एक्सप्लॉइट जारी (CVE-2024-43641)

विंडोज रजिस्ट्री में एक गंभीर खामी पाई गई है। यह खामी Windows Server 2025, Windows 10, और Windows 11 सहित कई विंडोज संस्करणों को प्रभावित करती है। इसे 7.8 का CVSS स्कोर दिया गया है, जो इसे उच्च गंभीरता वाली समस्या बनाता है।

समस्या क्या है?
यह खामी इंटेजर ओवरफ्लो के कारण होती है, जो विंडोज रजिस्ट्री में है। इसका फायदा उठाकर हमलावर मनमाना कोड चलाकर सिस्टम तक अनधिकृत पहुंच प्राप्त कर सकते हैं।

कौन से सिस्टम प्रभावित हैं?
x64 और ARM64 सिस्टम, कुछ 32-बिट सिस्टम (Windows Server 2008–2025 और Windows 10/11 पर चलने वाले)।
फॉल्स फाइल इम्यूटेबिलिटी (FFI)

इस समस्या को नई वर्ग की खामी False File Immutability (FFI) के अंतर्गत रखा गया है। इसे Gabriel Landau ने BlueHat IL 2024 और REcon Montreal 2024 में प्रस्तुत किया। FFI तब होती है जब कोड यह मानता है कि फाइल्स को बदला नहीं जा सकता क्योंकि उन्हें FILE_SHARE_WRITE के बिना खोला गया है। लेकिन कुछ स्थितियों में, हमलावर इन फाइल्स को बदल सकते हैं, जिससे डबल-रीड वल्नरेबिलिटी उत्पन्न होती है।

PoC एक्सप्लॉइट कैसे काम करता है?
यह खामी विंडोज रजिस्ट्री हाइव मेमोरी मैनेजमेंट में डिजाइन की एक चूक को निशाना बनाती है। रजिस्ट्री हाइव लोड करते समय, विशेष मेमोरी प्रेशर की स्थितियों में एक ही मेमोरी पेज बार-बार पढ़ा जा सकता है।

एक्सप्लॉइट प्रक्रिया
मैलिशियस SMB सर्वर रजिस्ट्री हाइव डेटा में हेरफेर करता है।
विंडोज रजिस्ट्री के बिन हेडर स्ट्रक्चर को निशाना बनाया जाता है।
मेमोरी बिट्स को नियंत्रित कर मेमोरी करप्शन और अनधिकृत एक्सेस प्राप्त किया जाता है।

प्रूफ ऑफ कॉन्सेप्ट (PoC)
Mateusz Jurczyk (Google Project Zero) ने एक PoC जारी किया, जिसमें दिखाया गया कि एक Linux-आधारित SMB सर्वर कैसे रजिस्ट्री हाइव डेटा को बदल सकता है। यह परीक्षण Windows 11 23H2 (जुलाई 2024 अपडेट के साथ) पर सफल रहा।

माइक्रोसॉफ्ट ने इसे ठीक करने के लिए: KB5036980 (Preview) जारी किया।
KB5037771 (Windows 11 23H2 के लिए) फाइनल फिक्स के रूप में जारी किया।
दूसरे प्लेटफॉर्म पर परीक्षण अभी जारी है।

क्या करें?
अपडेट इंस्टॉल करें: लेटेस्ट विंडोज सिक्योरिटी अपडेट लगाएं।
सिस्टम मॉनिटर करें: संभावित एक्सप्लॉइट के संकेतों पर नजर रखें।
सर्वर सुरक्षित करें: SMB सर्वर को अनधिकृत उपयोगकर्ताओं से बचाएं।

साइबर सुरक्षा समुदाय इस समस्या पर नजर बनाए हुए है।