W tych systemach Windows odkryto kolejną podatność zero-day
- Janusz Chustecki,
- 30.11.2020, godz. 10:23
Pracując na nad aktualizacją jednego z narzędzi zapewniających bezpieczeństwo komputerom Windows, jeden z francuskich informatyków odkrył przez przypadek podatność zagrażającą komputerom Windows 7 i Windows Server 2008 R2.
Podatność znajduje się znajduje się w usłudze RPC Endpoint Mapper i DNSCache, która wchodzi w skład wszystkich systemów Windows. Okazuje się, że rejestr konfigurujący tę usługę (a dokładnie dwa wchodzące w jego skład klucze) są źle zdefiniowane. Chodzi o klucze: „HKLM\SYSTEM\CurrentControlSet\Services\RpcEptMapper” i “HKLM\SYSTEM\CurrentControlSet\Services\Dnscache”.
Okazuje się, że wprowadzając do nich odpowiednie modyfikacje, haker może aktywować jeden z podkluczy używanych przez jedno z narzędzi monitorujących wydajność systemu Windows (Windows Performance Monitoring), jak również załadować swojej własne pliki DLL wspomagające takie zadanie.
Zobacz również:
- Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
- Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem
Na manipulację taką podatne się tylko systemy Windows 7 i Windows Server 2008 R2 z tego powodu, że w przypadku innych systemów Windows prawo do uruchomienia takich plików DLL mają tylko ci użytkownicy, którzy posiadają upoważniające je do przeprowadzenie takiej operacji odpowiednie uprawnienie. Do systemów Windows 7 i Windows Server 2008 R2 nie wprowadzono takiego ograniczenia, dlatego są one podatne na te ataki.
Microsoft jak dotąd nie skomentował tego odkrycia i na razie nie wiadomo czy zdecyduję się na jakikolwiek krok likwidujący tę podatność. Istnieje jednak łata likwidująca to zagrożenie, którą opracowała i udostępniła pod koniec zeszłego tygodnia firma Acros Security. Dostępna jest tutaj.