W tych systemach Windows odkryto kolejną podatność zero-day

Pracując na nad aktualizacją jednego z narzędzi zapewniających bezpieczeństwo komputerom Windows, jeden z francuskich informatyków odkrył przez przypadek podatność zagrażającą komputerom Windows 7 i Windows Server 2008 R2.

Windows

Podatność znajduje się znajduje się w usłudze RPC Endpoint Mapper i DNSCache, która wchodzi w skład wszystkich systemów Windows. Okazuje się, że rejestr konfigurujący tę usługę (a dokładnie dwa wchodzące w jego skład klucze) są źle zdefiniowane. Chodzi o klucze: „HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper” i “HKLM\SYSTEM\CurrentControlSet\Services\Dnscache”.

Okazuje się, że wprowadzając do nich odpowiednie modyfikacje, haker może aktywować jeden z podkluczy używanych przez jedno z narzędzi monitorujących wydajność systemu Windows (Windows Performance Monitoring), jak również załadować swojej własne pliki DLL wspomagające takie zadanie.

Zobacz również:

Na manipulację taką podatne się tylko systemy Windows 7 i Windows Server 2008 R2 z tego powodu, że w przypadku innych systemów Windows prawo do uruchomienia takich plików DLL mają tylko ci użytkownicy, którzy posiadają upoważniające je do przeprowadzenie takiej operacji odpowiednie uprawnienie. Do systemów Windows 7 i Windows Server 2008 R2 nie wprowadzono takiego ograniczenia, dlatego są one podatne na te ataki.

Microsoft jak dotąd nie skomentował tego odkrycia i na razie nie wiadomo czy zdecyduję się na jakikolwiek krok likwidujący tę podatność. Istnieje jednak łata likwidująca to zagrożenie, którą opracowała i udostępniła pod koniec zeszłego tygodnia firma Acros Security. Dostępna jest tutaj.


TOP 200