Een beveiligingsonderzoeker heeft een demo-exploitcode op GitHub gepubliceerd voor een kwetsbaarheid rond een Windows 10 zero-day. De zero-day betreft een zogeheten local privilege escalation (LPE).
Hackers kunnen een LPE-kwetsbaarheid niet gebruiken om in systemen in te breken volgens ZDNet. Wel biedt het de mogelijkheid om dit type zero-day in latere stadia van aanvallen te gebruiken om toegang op gecompromitteerde hosts te verhogen van low-privileged naar admin-level accounts.
Windows Task Scheduler
Volgens de op GitHub geplaatste beschrijving van de zero-day bevindt het beveiligingslek zich in het Windows Task Scheduler-proces. Aanvallers zouden in staat zijn om een ongeldig .job-bestand uit te voeren met een fout in de manier waarop het Taakplannerproces de DACL-machtigingen (discretionaire toegangscontrolelijst) voor een afzonderlijk bestand wijzigt. Bij misbruik is het mogelijk het beveiligingslek van een low-privileged naar een admin-level account te verheffen. In dit geval krijgt een aanvaller dus toegang tot het gehele systeem.
Uit tests blijkt dat de zero-day alleen werkt op Windows 10 32-bits systemen. Al zou deze in theorie moeten kunnen werken op álle Windows-versies, teruggaand tot Windows XP en Server 2003. Mogelijkheden die momenteel nog onderzocht worden.
Recnte zero-day leks
Met regelmaat worden er zero-day kwetsbaarheden in Windows ontdekt. Zo ontdekten onderzoekers van Kaspersky Lab vorige maand nog aanvallen tegen verschillende 64-bit Windows-systemen, gaande van Windows 7 tot oudere builds van Windows 10. Een bug in de Windows-kernel werd actief misbruikt in cyberaanvallen om een getroffen systeem volledig over te nemen. Het zero-daylek werd kort daarna door Microsoft gepatcht.
Begin deze maand werd bekend, dat een Chinese hackergroep misbruik maakte van een specifieke zero-day die de exploit tool gebruikt, een zogeheten NSA-tool. Nog geen twee maanden daarvoor was de tool nog gepatcht door Microsoft.
Lees ook: Microsoft waarschuwt voor ernstig lek en patcht Windows XP