Luka Zero-Day w zabezpieczeniach systemu Windows

W tweecie zamieszczono link do dowodu poprawności (PoC - ang. Proof of Concept) dotyczącego rzekomej luki zero-day w zabezpieczeniach w GitHub, zachęcając analityków bezpieczeństwa do zapoznania się z zarzutami i ich weryfikacji.

Na podstawie oceny analityka zagrożeń CERT/CC, Phila Dormanna, błąd został zweryfikowany; potwierdzono, że stwarza on zagrożenie dla komputerów pracujących pod kontrolą w pełni spatchowanego 64-bitowego systemu Windows 10, umożliwiając atakującym uzyskanie uprawnień administratora systemu.

„Nie jest jasne, czy exploit zero-day będzie skuteczny na wszystkich, wspieranych przez Microsoft, wersjach systemu Windows, w tym 32-bitowych, ale i tak bez wątpienia jest to powód do niepokoju - PoC jest przecież dostępny publicznie i może być z łatwością użyty przez sprawców zagrożeń" - komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken

Wprawdzie, żeby luka mogła być wykorzystana, exploit zero-day wymaga bezwzględnie spełnienia określonych warunków - ofiara musi pobrać i wykonać zainfekowaną aplikację, to jednak jest to często stosowana metoda ataku, szczególnie w przypadku ataków typu APT (Advanced Persistent Threats) i spearphishing .

„Program do planowania zadań (Task Scheduler) systemu Microsoft Windows zawiera lukę w funkcji rozszerzania lokalnych uprawnień w interfejsie ALPC (Advanced Local Procedure Call), która pozwala lokalnemu użytkownikowi uzyskać uprawnienia SYSTEMU", czytamy w poradniku CERT/CC. „CERT/CC nie ma obecnie pomysłu na praktyczne rozwiązanie tego problemu".

Chociaż nie ma pewności, czy Microsoft był wcześniej powiadamiany przez @SandboxEscaper o omawianym przypadku zero-day, tweet sugeruje, że kontakt z Microsoftem nie był pozytywny.

Po incydencie rzecznik Microsoftu stwierdził, że firma „zareaguje na ujawnione zagrożenia tak szybko, jak to możliwe"