# CVE-2024-30088 > [!high] Escalação de Privilégio no Kernel Windows - Explorado pelo OilRig (APT iraniano) > Race condition no kernel do Windows permite escalação de privilégios locais para SYSTEM. Explorada pelo grupo de espionagem iraniano **OilRig** (APT34) como parte de sua cadeia de ataque para manter acesso persistente com privilégios máximos em alvos do Oriente Médio e setores de energia global. ## Visão Geral [[cve-2024-30088|CVE-2024-30088]] é uma vulnerabilidade de race condition no kernel do Windows que permite a um atacante local elevar seus privilégios para SYSTEM. A exploração requer timing preciso para vencer a condição de corrida, tornando a exploração ligeiramente mais complexa que outras LPE (Local Privilege Escalation), mas grupos APT sofisticados como o OilRig têm exploits confiáveis para esse tipo de falha. O grupo [[g0049-oilrig|OilRig]] (também conhecido como APT34, Helix Kitten), um APT vinculado ao governo iraniano com foco em espionagem política e industrial, utilizou esta vulnerabilidade em sua cadeia de comprometimento para garantir acesso de SYSTEM em sistemas Windows já comprometidos via phishing ou exploits de aplicações web. O OilRig tem histórico de operações no setor de energia, telecomúnicações e governo no Oriente Médio, mas com capacidade para operações em escala global. Para organizações que trabalham com parceiros ou subsidiárias em regiões de interesse iraniano - como o setor de energia e petróleo/gás -, a monitoração de tentativas de LPE no kernel Windows é relevante. O OilRig é conhecido por operações de espionagem de longo prazo com foco em dados estratégicos. > [!latam] Relevância LATAM > Empresas brasileiras do setor de energia (Petrobras e cadeia de fornecedores), telecomúnicações e governo com operações internacionais devem monitorar TTPs do OilRig. Sistemas Windows desatualizados sem patch de junho 2024 são vulneráveis a esta cadeia de escalação de privilégio. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Race Condition / Time-of-check Time-of-use (CWE-362) | | Componente | Windows Kernel | | Pré-requisito | Acesso local com conta de usuário comum | | Impacto | Escalação para SYSTEM | | Sistemas afetados | Windows 10/11, Server 2019/2022 | ## TTPs Associadas - [[t1068-exploitation-for-privilege-escalation|T1068]] - Race condition no kernel para SYSTEM - [[t1078-valid-accounts|T1078]] - OilRig usa contas válidas como vetor inicial - [[t1566-002-spearphishing-link|T1566.002]] - Spear-phishing como acesso inicial do OilRig - [[t1098-account-manipulation|T1098]] - Manipulação de contas após escalação ## Detecção e Defesa **Mitigação primária:** Aplicar patch Microsoft de junho 2024 (Patch Tuesday). **Monitoração:** - Alertar sobre processos não privilegiados que exploram handles de kernel incomuns - Monitorar escalações de privilégio de processos de usuário comum para SYSTEM **Mitigações adicionais:** - [[m1051-update-software|M1051]] - Manter Windows atualizado com patches mensais - [[m1026-privileged-account-management|M1026]] - Princípio de menor privilégio reduz superfície - [[m1038-execution-prevention|M1038]] - Controle de execução de código de usuário ## Referências - [Microsoft CVE-2024-30088](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30088) - [Check Point Research - OilRig campaigns 2024](https://research.checkpoint.com) - [ESET - APT34/OilRig analysis](https://www.welivesecurity.com)