Повысилась критичность уязвимости Elevation of Privilege - Microsoft Streaming Service (CVE-2024-30090). Уязвимость была исправлена в рамках июньского Microsoft Patch Tuesday. На тот момент никто эту уязвимость не выделял. Уязвимость обнаружил исследователь с ником Angelboy из компании DEVCORE. Подробности по уязвимости содержатся в серии его постов, опубликованных 23 августа и 5 октября.

Уязвимость касается фреймворка Kernel Streaming, который отвечает за обработку потоковых данных. Он используется, например, когда системе необходимо прочитать данные с ваших микрофонов или веб-камер в оперативную память. Этот фреймворк работает, в основном, в режиме ядра.

5 октября Angelboy выложил видео эксплуатации уязвимости, демонстрирующее получение интерактивной консоли с правами System.

17 октября исследователь с ником Dor00tkit выложил PoC эксплоита на GitHub.

Обновления доступны для Windows 10 и 11, а также Windows Server от 2008 до 2022.