Microsoft har endnu ikke fuldt ud rettet en nul-dages sårbarhed i Windows 10, der giver eskalerede privilegier til succesfulde angribere. Imidlertid, 0 Patch udviklet et uofficielt mikropatch, der har til formål at løse problemet.
Denne fejl er kendt af teknologigiganten under dens alias CVE-2021-34484. Microsoft udstedte allerede en rettelse under August Patch Tuesday tidligere i år. Ifølge virksomheden er fejlen et vilkårligt problem med sletning af biblioteker.
0Patch vil rette denne Windows-sårbarhed
Redmond embedsmænd anså dette for en lav prioritet, fordi en trussel aktør ville være nødt til at have lokal adgang til at udnytte et system. Alligevel ville angriberen med den adgang kun være i stand til at slette mapper.
Sikkerhedsforsker Abdelhamid Naceri fandt dog senere ud af, at fejlen også kunne være en gateway til privilegie-eskalering.
Dette ville faktisk give trusselsaktøren adgang til systemressourcer, servere og andre dele af et netværk, selvom de stadig ville have brug for lokal adgang for at starte kæden.
Han fandt også ud af, at Microsofts rettelse ikke rigtig virkede, fordi angribere kan omgå det, og 0Patch bekræftede dette i et af deres blogindlæg.
Sårbarheden ligger i User Profile Service, specifikt i den kode, der er ansvarlig for at oprette en midlertidig brugerprofilmappe i tilfælde af, at brugerens originale profilmappe er beskadiget eller låst for nogle grund.
Abdelhamid opdagede, at processen (udført som lokalt system) med at kopiere mapper og filer fra brugerens originale profilmappe til den midlertidige kan angribes med symbolske links.
Ved at gøre det vil ondsindede tredjeparter skabe mapper, der kan skrives af hackere på en systemplacering, hvorfra en efterfølgende lanceret systemproces vil indlæse og udføre angriberens DLL.
0Patch skrev sin egen mikropatch for at dække Microsofts spor og lukke sårbarheden. Virksomheden siger, at patchen beskytter alle berørte Windows-versioner, inklusive 20H2, 2004,1909 og Windows Server 2019.
Redmond-teknologigiganten har ikke sagt, hvornår den vil udrulle en officiel patch, da den stadig ser dette som et lavt prioriteret problem på grund af den lokale adgang.
Dette betyder, at en plausibel ETA kunne være softwareudrulningen af December Patch Tuesday.
Hvad er din holdning til hele situationen? Del din mening med os i kommentarfeltet nedenfor.
