Microsoft har ennå ikke fullstendig fikset et nulldagssårbarhet i Windows 10 som gir eskalerte rettigheter til vellykkede angripere. Derimot, 0 Patch utviklet en uoffisiell mikropatch som har som mål å løse problemet.
Denne feilen er kjent av teknologigiganten under sitt alias CVE-2021-34484. Microsoft utstedte allerede en løsning under August Patch Tuesday tidligere i år. Ifølge selskapet er feilen et vilkårlig katalogslettingsproblem.
0Patch skal fikse dette Windows-sårbarheten
Redmond-tjenestemenn anså dette som en lav prioritet fordi en trusselaktør måtte ha lokal tilgang for å utnytte et system. Likevel, med den tilgangen, ville angriperen bare kunne slette mapper.
Sikkerhetsforsker Abdelhamid Naceri fant imidlertid senere ut at feilen også kan være en inngangsport til privilegieeskalering.
Dette vil faktisk gi trusselaktøren tilgang til systemressurser, servere og andre deler av et nettverk, selv om de fortsatt trenger lokal tilgang for å starte kjeden.
Han fant også ut at Microsofts reparasjon egentlig ikke fungerte fordi angripere kan omgå den, og 0Patch bekreftet dette i et av blogginnleggene deres.
Sårbarheten ligger i brukerprofiltjenesten, spesielt i koden som er ansvarlig for å lage en midlertidig brukerprofilmappe i tilfelle brukerens opprinnelige profilmappe er skadet eller låst for noen Årsaken.
Abdelhamid oppdaget at prosessen (utført som lokalt system) med å kopiere mapper og filer fra brukerens opprinnelige profilmappe til den midlertidige kan bli angrepet med symbolske lenker.
Ved å gjøre det vil ondsinnede tredjeparter opprette mapper som kan skrives av angriperen på en systemplassering hvorfra en senere lansert systemprosess vil laste og kjøre angriperens DLL.
0Patch skrev sin egen mikropatch for å dekke Microsofts spor og lukke sårbarheten. Selskapet sier at oppdateringen beskytter alle berørte Windows-versjoner, inkludert 20H2, 2004,1909 og Windows Server 2019.
Redmond-teknologigiganten har ikke sagt når den vil rulle ut en offisiell oppdatering, med tanke på at den fortsatt ser dette som et lavt prioritert problem på grunn av lokal tilgang.
Dette betyr at en plausibel ETA kan være programvareutrullingen for desember Patch Tuesday.
Hva synes du om hele situasjonen? Del din mening med oss i kommentarfeltet nedenfor.
