Microsoft niedawno wdrożył nowa aktualizacja funkcji systemu Windows 10. Najwyraźniej firma zignorowała poważną lukę bezpieczeństwa, która istniała w systemie Windows 10.
Wada została zauważona w zaawansowanym Harmonogram zadań ustawienia. Ta luka umożliwia hakerom uzyskanie pełnych uprawnień administracyjnych nad Twoimi plikami.
Badacz o imieniu PiaskownicaEscaper pierwszy zauważył lukę i umieścił ją w Internecie. Badacz zabrał go na Github i opublikował lukę zero-day na platformie.
Od teraz Microsoft nie uznali luka w zabezpieczeniach w obrębie Harmonogram zadań. Gdy firma potwierdzi błąd, a łatka bezpieczeństwa będzie dostępny wkrótce.
Co zaskakujące, Świergot użytkownik ujawnił zero-dniowy podatność jest skierowana do tych System Windows 10, na którym ostatnio zainstalowano system Windows 10 v1903. Ponadto użytkownik stwierdził, że każdy może łatwo wykorzystać tę lukę.
Mogę potwierdzić, że działa to tak, jak jest na w pełni załatanym (maj 2019) systemie Windows 10 x86. Plik, który wcześniej był pod pełną kontrolą tylko SYSTEM i TrustedInstaller, jest teraz pod pełną kontrolą ograniczonego użytkownika Windows.
Działa szybko i przez 100% czasu w moich testach. pic.twitter.com/5C73UzRqQk— Will Dormann (@wdormann) 21 maja 2019 r.
SandboxEscaper opublikował również wideo, aby zademonstrować atak weryfikacyjny (POC).
SandboxEscaper właśnie opublikował ten film, a także POC dla Windows 10 priv esc pic.twitter.com/IZZZzVFOBZc
— Chase Dardaman (@CharlesDardaman) 21 maja 2019 r.
Warto zauważyć, że badacz dalej twierdzi, że identyfikuje 4 dodatkowe wady w systemie Windows 10. Jedna z tych luk pozwala na obejście exploita bezpieczeństwo piaskownicy. Microsoft musi działać szybko i naprawić tę lukę, zanim spowoduje poważne szkody.
SandboxEscaper wcześniej wykrył kilka luk zero-day. Jednak użytkownik nigdy nie poinformował firmy Microsoft o problemach przed ich wydaniem.
Użytkownicy Reddita chciał, żeby najpierw powiadomiła Microsoft o problemach.
Straszny! Czy istnieje powód, dla którego opublikowała to publicznie? Chciałbym, żeby przynajmniej powiadomiła Microsoft i dała im szansę. Przynajmniej to tylko LPE.
Jeśli chodzi o ostatnią lukę, oczekuje się, że Microsoft wyda niezbędne poprawki na Patch wtorek.
POWIĄZANE ARTYKUŁY, KTÓRE MUSISZ SPRAWDZIĆ:
- Kolejna luka zero-day w systemie Windows wykryta przez Kaspersky
- 5 najlepszych programów antywirusowych z blokadą stron/filtrowaniem stron internetowych
