Een security-onderzoeker, die online opereert onder het pseudoniem SandboxEscaper, heeft voor de tweede keer op twee maanden tijd een zero-daylek in Windows 10 via Twitter onthuld. Opnieuw publiceerde ze ook een proof-of-concept op GitHub.
De kwetsbaarheid treft alle versies van Windows 10 (inclusief de October 2018 Update), alsook Server 2016 en Server 2019. Het lek zit in Microsofts Data Sharing Service (dssvc.dll), een lokale service die data tussen applicaties beschikbaar maakt.
https://twitter.com/SandboxEscaper/status/1054744201244692485
De zero-day werd bevestigd door verschillende andere security-experts, waaronder Mitja Kolsek van 0patch en Will Dormann van het Computer Emergency Response Team (CERT). Dormann bevestigt dat alleen Windows 10 treft, omdat de Data Sharing Service niet aanwezig is op oudere Windows-versies.
Micropatch
De proof-of-concept (PoC) van SandboxEscaper kan worden gebruikt door een aanvaller om zijn rechten op een systeem te verhogen. Concreet laat de PoC toe om bestanden te verwijderen waar een gebruiker normaal admin-rechten voor nodig heeft. Experts geloven dat ook andere acties mogelijk zijn, mits enkele aanpassingen.
Kolsek waarschuwt om de code van SandboxEscpaer alleen in een virtual machine uit te proberen. De PoC verwijdert namelijk cruciale Windows-bestanden, waardoor het besturingssysteem crasht en niet meer wil opstarten. Alleen een systeemherstel biedt dan soelaas.
Kolseks bedrijf, 0patch, bouwt micropatches om zero-daylekken tijdelijk te dichten tot een officiële patch beschikbaar is. Ook voor deze zero-daykwetsbaarheid is ondertussen een micropatch beschikbaar, in afwachting tot Microsoft het lek definitief dicht.
Tweede keer
Het is al de tweede keer op twee maanden tijd dat SandboxEscaper op deze manier een zero-daylek in Windows 10 aan het licht brengt. Eind augustus publiceerde ze een gelijkaardig proof-of-concept, waarmee de rechten op een systeem konden worden verhoogd via een bug in de Windows Task Scheduler.
Twee dagen later werd die zero-day al in het wild misbruikt, als onderdeel van een malwarecampagne van de PowerPool-groep. Microsoft bracht toen een week later een patch uit, als onderdeel van de reguliere updateronde van september.