Na tweeterze @SandboxEscaper została ostatnio opublikowana wiadomość o świeżo ujawnionej luce zero-day, w której autor nie kryje swojej frustracji, jaką wywołuje u niego stosowany przez Microsoft proces ujawniania błędów w oprogramowaniu.
W tweecie zamieszczono link do dowodu poprawności (PoC – ang. Proof of Concept) dotyczącego rzekomej luki zero-day w zabezpieczeniach w GitHub, zachęcając analityków bezpieczeństwa do zapoznania się z zarzutami i ich weryfikacji.
Na podstawie oceny analityka zagrożeń CERT/CC, Phila Dormanna, błąd został zweryfikowany; potwierdzono, że stwarza on zagrożenie dla komputerów pracujących pod kontrolą w pełni spatchowanego 64-bitowego systemu Windows 10, umożliwiając atakującym uzyskanie uprawnień administratora systemu.
„Nie jest jasne, czy exploit zero-day będzie skuteczny na wszystkich, wspieranych przez Microsoft, wersjach systemu Windows, w tym 32-bitowych, ale i tak bez wątpienia jest to powód do niepokoju – PoC jest przecież dostępny publicznie i może być z łatwością użyty przez sprawców zagrożeń” – komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken
Wprawdzie, żeby luka mogła być wykorzystana, exploit zero-day wymaga bezwzględnie spełnienia określonych warunków – ofiara musi pobrać i wykonać zainfekowaną aplikację, to jednak jest to często stosowana metoda ataku, szczególnie w przypadku ataków typu APT (Advanced Persistent Threats) i spearphishing .
Program do planowania zadań (Task Scheduler) systemu Microsoft Windows zawiera lukę w funkcji rozszerzania lokalnych uprawnień w interfejsie ALPC (Advanced Local Procedure Call), która pozwala lokalnemu użytkownikowi uzyskać uprawnienia SYSTEMU”, czytamy w poradniku CERT/CC. „CERT/CC nie ma obecnie pomysłu na praktyczne rozwiązanie tego problemu.
Chociaż nie ma pewności, czy Microsoft był wcześniej powiadamiany przez @SandboxEscaper o omawianym przypadku zero-day, tweet sugeruje, że kontakt z Microsoftem nie był pozytywny.
Po incydencie rzecznik Microsoftu stwierdził, że firma „zareaguje na ujawnione zagrożenia tak szybko, jak to możliwe”
Komentarze