Podatność znajduje się znajduje się w usłudze RPC Endpoint Mapper i DNSCache, która wchodzi w skład wszystkich systemów Windows. Okazuje się, że rejestr konfigurujący tę usługę (a dokładnie dwa wchodzące w jego skład klucze) są źle zdefiniowane. Chodzi o klucze: „HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper” i “HKLM\SYSTEM\CurrentControlSet\Services\Dnscache”.

Okazuje się, że wprowadzając do nich odpowiednie modyfikacje, haker może aktywować jeden z podkluczy używanych przez jedno z narzędzi monitorujących wydajność systemu Windows (Windows Performance Monitoring), jak również załadować swojej własne pliki DLL wspomagające takie zadanie.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem

Na manipulację taką podatne się tylko systemy Windows 7 i Windows Server 2008 R2 z tego powodu, że w przypadku innych systemów Windows prawo do uruchomienia takich plików DLL mają tylko ci użytkownicy, którzy posiadają upoważniające je do przeprowadzenie takiej operacji odpowiednie uprawnienie. Do systemów Windows 7 i Windows Server 2008 R2 nie wprowadzono takiego ograniczenia, dlatego są one podatne na te ataki.

Microsoft jak dotąd nie skomentował tego odkrycia i na razie nie wiadomo czy zdecyduję się na jakikolwiek krok likwidujący tę podatność. Istnieje jednak łata likwidująca to zagrożenie, którą opracowała i udostępniła pod koniec zeszłego tygodnia firma Acros Security. Dostępna jest tutaj.