Связка эксплойтов позволяет обойти UAC и получить прав админа в Windows

Связка эксплойтов позволяет обойти UAC и получить прав админа в Windows

Связка эксплойтов позволяет обойти UAC и получить прав админа в Windows

Специалисты предупреждают об уязвимости в Windows, позволяющей обойти контроль учётных записей пользователей (UAC) и повысить права в системе до уровня SYSTEM.

Проблема, которую отслеживают под идентификатором CVE-2024-6769, получила 6,7 балла по шкале CVSS. В настоящее время доступен демонстрационный эксплойт.

«На системном диске есть определённые места, куда злоумышленник сможет записывать или удалять файлы. Например, «C:\Window», что даёт атакующему возможность получить контроль над файлами с правами SYSTEM», — объясняет Тайлер Регули из Fortra.

Microsoft изучила отчёт исследователей, однако отметила, что не считает это уязвимостью, поскольку она по классификации якобы попадает под «приемлемый выход за границы безопасности».

Тем не менее продемонстрированный Fortra вектор позволяет аутентифицированному пользователю обойти защитный механизм UAC, настроенный на средний уровень, и получить права администратора.

Для успешной эксплуатации CVE-2024-6769 у атакующего уже должен быть доступ к целевой системе. Для начала придётся переназначить корневой диск ОС (как, например, «C») на подконтрольную директорию.

Эта операция должна переместить системную папку «system32», которая используется многими службами для загрузки критически важных для работы файлов.

Отсюда можно применить метод подгрузки вредоносной DLL, которую злоумышленник должен поместить в system32. Для этого можно задействовать службу CTF Loader (ctfmon.exe), работающую с правами администратора.

Microsoft, как уже отмечалось выше, проблему пока устранять не планирует.

Прибыль разработчиков ПО в России упала на 34% при выручке 2,8 трлн

Российские разработчики ПО в 2025 году заработали 2,8 трлн рублей — на 14% больше, чем годом ранее. Звучит бодро, пока не посмотреть на остальную статистику. В 2024-м рынок рос на 24%, продажи внутри страны прибавляли 28%, а теперь темп замедлился до 17,8%.

Самое неприятное — прибыль. Она рухнула сразу на 34%, а ее доля в обороте сократилась с 16,7 до 9,9%. Малому бизнесу досталось сильнее всех: у компаний с выручкой менее 375 млн рублей чистая прибыль просела на 49%.

Главный двигатель последних лет — импортозамещение — начал сбрасывать обороты. Заказчики больше не хватают российский софт только потому, что он российский. Теперь им нужны понятная экономика, быстрый эффект и доказательство, что внедрение не превратится в дорогой эксперимент.

На маржинальность одновременно давят рост расходов, налоги, укрепление рубля, санкционные риски и пиратское зарубежное ПО, которое до сих пор спокойно живет во многих компаниях.

В 2026 году разработчики, похоже, продолжат считать деньги особенно внимательно. Инвестиции станут точечными, новые идеи будут чаще проверять через пилоты и MVP, а проекты без внятной окупаемости отправятся в корзину.

Кадровый рынок тоже может стать жестче. Компании будут сокращать слабых специалистов и делать ставку на миддл+ и сеньор-разработчиков. ИИ поможет убрать часть рутины, но заменить сильных инженеров пока не сможет.

Спасение отрасль ищет за рубежом. В 2025 году экспорт российского ПО вырос до $6,3 млрд. Но массового похода по миру пока не получается: мешают санкции, расчеты, местные законы и необходимость договариваться с партнерами на каждом рынке.

RSS: Новости на портале Anti-Malware.ru