Обнаружена серьезная уязвимость в Windows, позволяющая обойти UAC
9645
Компания Microsoft признала, что в данный момент занимается изучением попавшего в сеть PoC-кода (от англ. Proof of concept) для уязвимости в Windows, которая, кроме всего прочего, позволяет обойти UAC.
Компания Prevx, занимающаяся исследованиями в сфере безопасности, опубликовала подробности о новом эксплойте в . "Серьезность данной уязвимости придает тот факт, что она присутствует в файле win32k.sys, отвечающем за режим ядра в подсистеме Windows. Данный эксплойт позволяет повысить привилегии пользователя со стандартной учетной записью до уровня администратора, что позволит атакующему произвести удаленный запуск произвольного кода в режиме ядра" - пишет специалист по вредоносному ПО Марко Джулиани (Marco Giuliani).
Джулиани говорит, что уязвимости подвержены Windows XP, Vista и Windows 7, причем и 32-разрядные, и 64-разрядные версии. На текущий момент не зарегистрировано атак с использованием данной уязвимости, но Джулиани считает, что в ближайшее время данная уязвимость будет активно использоваться во вредоносном ПО.
По информации Prevx, уязвимость кроется в API NtGdiEnableEUDC в win32k.sys. API некорректно проверяет некоторые значения, что приводит к переполнению буфера. Атакующий может перенаправить возвращенный адрес на свой вредоносный код и выполнить его в режиме ядра. По этой причине уязвимость позволяет обойти технологию User Account Control (UAC), используемую в Windows Vista и Windows 7.
Ранее Prevx подверглась резкой критике за ложное обвинение Microsoft в том, что Windows Update приводит к возникновению "черного экрана смерти". После данного заявления выяснилось, что появление данного экрана было обусловлено вирусом. Впоследствии компания направила официальные извинения в Microsoft. Несмотря на эту оплошность, Prevx сохранила статус золотого сертифицированного партнера Microsoft и продолжила активно работать с компьютерным гигантом в борьбе против различного рода угроз.
Microsoft подтвердила, что изучает информацию об уязвимости. "В данный момент мы изучаем публичный PoC-код для локальной уязвимости, позволяющей повысить привилегии пользователя" - заявил пресс-секретарь.
Источник:
Перевод: deeper2k
Комментарии
Мда, интересно как такие экзотические уязвимости вообще обнаруживают?
общий принцип таков:
-есть функция
-есть ожидаемое поведение функции: набор выходных данных, и соответствующих заранее достоверных результатов
-вызывается функция, анализируется результат, совпал с эталоном или нет
При таком подходе не обязательно иметь исходный код функции.
По теме
- Уязвимость и эксплойт для Windows "PrintNightmare" оказались более опасны
- Microsoft выпустила новые накопительные обновления безопасности Windows 10
- Microsoft вместе с McAfee возглавила рабочую группу по борьбе с "шифровальщиками"
- Microsoft работает над интеграцией в компьютеры супер-чипа безопасности "Pluton"
- AV-TEST назвала Microsoft Defender одним из лучших антивирусов для Windows 10
- Вышли новые обновления безопасности продуктов Microsoft
- Защитника Windows 10 стало еще сложнее отключить
- Microsoft исправляет рекордные 129 уязвимости
- Пользователям доступны очередные обновления безопасности продуктов Microsoft
- Microsoft ожидает более серьезных атак через BlueKeep