Een pas ontdekt zero day-lek laat een aanvaller toe om als administrator aan de slag te gaan met een Windows-account met beperkte rechten. Microsoft heeft nog geen patch.
Tijdens de maandelijkse patchronde begin november probeerde Microsoft een beveiligingsprobleem in alle ondersteunde versies van Windows op te lossen. Via de bug konden aanvallers een Windows-installerbestand gebruiken om hun privileges op een lokaal account te escaleren en als administrator aan de slag te gaan. Beveiligingsonderzoeker Abdelhamid Naceri ontdekte nu dat die patch de zaken alleen maar erger maakt.
Groter probleem
Hij stelt vast dat het niet alleen mogelijk is de patch te omzeilen, maar dat die ook de deur opent voor nog eenvoudiger misbruik. De originele bug misbruikte een installer, wat impliceerde dat een administrator de uitvoering van dergelijke bestanden kon blokkeren. Met de nieuwe versie van de aanval kan een hacker zelfs in dat scenario administratorrechten verwerven.
De onderzoeker publiceerde een proof of concept van zijn exploit op GitHub en Bleepingcomputer ging er al mee aan de slag. Tijdens het test lukte het daadwerkelijk om vanuit een lokaal account zonder privileges een opdrachtprompt met systeemrechten te openen op een volledig gepatcht systeem.
De aanval is gevaarlijk in scenario’s waarin hackers al toegang hebben tot een computer, bijvoorbeeld via phishing. De bug laat criminelen in dat geval toe om met hogere rechten meer schade aan te richten. Windows 10, Windows 11 en Windows Server zijn kwetsbaar.
Frustratie met vergoeding
Het is ongewoon dat een beveiligingsonderzoeker de code voor een exploit meteen online zet. Meestal volgen onderzoekers responsible disclosure, wat inhoudt dat ze eerst de ontwikkelaar van software informeren en die de kans geven het probleem te patchen voor de ze bug wereldkundig maken. Microsoft heeft recent echter flink gesnoeid in zijn bug bounty-programma, zodat ontdekte lekken veel minder geld waard zijn. Naceri publiceerde zijn lek naar eigen zeggen meteen op GitHub als aanklacht.
Een oplossing is er niet. Vermoedelijk zal Microsoft het probleem verhelpen tijdens een patchronde op de eerste dinsdag van september. De patch van november bracht meer problemen met zich mee dan deze zero day. Zo zorgde de update voor compatibiliteitsproblemen met de endpointbeveiliging van Kaspersky.