Op Twitter heeft iemand een zero-daylek gedeeld met de wereld nadat ze een kwetsbaarheid in Windows had gevonden. Ze heeft haar proof-of-concept gedeeld op GitHub, zodat iedereen ermee aan de slag kan. Microsoft heeft nog geen patch klaar.
De nieuwe kwetsbaarheid is niet ernstig genoeg om een aparte patch te forceren van Microsoft buiten Patch Tuesday. Het Computer Emergency Response Team (CERT) heeft alvast een waarschuwing gegeven rond de nieuwe ontdekte ‘privilege escalation’-bug in Windows.
CERT-verificatie
CERT-analist Will Dormann heeft de bug snel geverifieerd en bevestigt op Twitter. “Ik bevestig dat het werkt in een volledig gepatchte 64-bit Windows 10-omgeving, LPE recht in SYSTEM.” LPE staat hier voor Local Privilege Escalation, wat betekent dat malware of malafide ingelogde gebruikers dit kunnen misbruiken om toegang te krijgen tot het systeem.
https://twitter.com/SandboxEscaper/status/1034125195148255235
CERT heeft het formele onderzoek afgerond en een volledig rapport online geplaatst. Microsoft Windows task scheduler bevat een kwetsbaarheid in de controle over Advanced Local Procedure Call (ALPC). Die laatste geeft een lokale gebruiker toegang tot SYSTEM-privileges, volgens The Register.
Lokale bug
ALPC beperkt echter wel de impact van het zero-daylek. Het gaat namelijk om een lokale bug. Je moet al ingelogd zijn, of de code moet al draaien, om een machine te kapen.
In de nota zegt CERT dat ze op dit ogenblik geen weet hebben van een praktische oplossing voor het probleem. Microsoft laat aan The Register weten dat ze pro-actief updateadvies zullen geven van zodra ze meer weten.