UAC w Viście i Windows 7 pokonany!

Luka umożliwiająca rozszerzenie uprawnień pozwala standardowym użytkownikom na wykonanie dowolnego kodu w trybie jądra.

Kolejny błąd Zero-Day platformy Windows dotyczy win32k.sys (krytyczny składnik jądra Windows) i wygląda na to, że tym razem problem będzie poważnym wyzwaniem dla świata bezpieczeństwa. Zagrożenie wywoływane jest poprzez przepełnienie bufora w pliku jądra, które pozwala na uruchomienie kodu z pominięciem UAC w systemie Windows Vista i Windows 7.

Bardziej szczegółowo, luka bezpieczeństwa dotyczy API RtlQueryRegistryValues, które odpowiada za odpytywanie wartości rejestrów zgodnie z tabelą zapytań, a pole EntryContext stanowi bufor wyjściowy. Do wykorzystania luki konieczne jest utworzenie przez atakującego zmodyfikowanego klucza Rejestru lub możliwość manipulowania kluczem Rejestru, do którego wystarcza dostęp na prawach zwykłego użytkownika. Ze względu na naturę luki, dalszych szczegółów nie ujawnimy.

Wystarczy powiedzieć, że działający proof-of-concept przez kilka godzin dostępny był na jednej z bardzo popularnych stron dotyczących programowania. Demonstracja zawierała instrukcję krok po kroku, a także binaria oraz kody źródłowe potrzebne do pokonania UAC.

Ze względu na to, że błąd win32k.sys wciąż jest niezałatany, a kod exploita został upubliczniony, możemy się spodziewać, że już wkrótce luka będzie wykorzystywana przez malware. Inżynierowie firmy BitDefender są w pełni świadomi zagrożenia i już pracują nad ogólnym schematem detekcji uniemożliwiającym uzyskiwanie dostępu do jądra przez szkodliwe oprogramowanie.

Tymczasem zalecamy unikanie pobierania plików z niezaufanych źródeł. Ponadto, jeśli jeszcze tego nie zrobiliście, zdecydowanie sugerujemy zainstalowanie i zaktualizowanie programu antywirusowego.

Źródło: Marken Systemy Antywirusowe