Windows 10 kaapbaar via verse 0-day

Sinds gisteren is er een nieuw 0-day beveiligingsgat in Windows 10 geopenbaard, inclusief publiekelijk beschikbare exploitcode ervoor. De werking van de PoC (Proof of Concept) code is bevestigd door security-onderzoeker Will Dormann, die is verbonden aan het CERT Coordination Center (CERT/CC).

Jasper BakkerredacteurMeer van deze auteur

Dormann heeft een korte advisory over deze 0-day gepubliceerd. Daarin wordt uitgelegd dat de uitgebuite kwetsbaarheid zit in het Taakbeheer-component van Windows. Op Windows 10 heeft die tool een beveiligingsgat in de ALPC-interface (Advanced Local Procedure Call (ALPC). Zoals de naam van die interface al aangeeft, gaat het om een lokale kwetsbaarheid. Hackgevaar via internet is er dus niet direct, maar mogelijk wel indirect.

Root-rechten

Indien een gebruiker ertoe verleid kan worden om code uit te voeren, bijvoorbeeld door een vermomd programma te starten, kan malware toeslaan. Het grote gevaar zit erin dat deze 0-day dan toegang tot Windows’ diepgaande SYSTEM-rechten geeft, wat de hacker meer macht geeft dan reguliere beheer-accounts (admin). Het standaard ingebouwde SYSTEM geniet zelfs enige mate van onzichtbaarheid (doordat het niet als account opduikt in gebruikersbeheer) en biedt in een bedrijfsomgeving toegang tot domain-servers.

Een workaround, laat staan een fix of patch, is nu niet beschikbaar. “Het CERT/CC is momenteel niet op de hoogte van een praktische oplossing voor dit probleem”, schrijft expert Dormann in zijn advisory. Hij heeft de exploit getest op een volledig bijgewerkt 64-bit Windows 10-systeem, waarop de escalatie van privileges inderdaad werkt.

Verbolgen ontdekker

De 0-day is via Twitter op straat gegooid door een boze hacker die kennelijk slechte bug-meldingservaring heeft met Microsoft. De bewuste tweet is inmiddels verwijderd, net zoals het postende gebruikersaccount. De in de tweet geopenbaarde link naar een GitHub-repository blijkt nog gewoon te werken. Daar valt een .rar-bestand te downloaden dat de exploitcode bevat.

Een begeleidend document met uitleg staat in het gecomprimeerde bestand qua aanmaak op naam van Thomas Vanhoutte, en is initieel gecreëerd op 9 mei dit jaar. Dit soort metadata valt te vervalsen, maar in combinatie met de boze tweet en publieke onthulling doet het een moeizaam meldingsproces bij Microsoft vermoeden. De Windows-maker verklaart tegenover The Register dat het security serieus neemt en verwijst naar zijn maandelijkse updatedag.

Bugbeloningsjager

Security-onderzoeker Vanhoutte is in juli dit jaar nog genoemd in Microsofts top vijf van bounty hunters, door het Microsoft Security Response Center (MSRC Team). Die ranglijst was voor bugmeldingen en beloningen daarvoor in de periode april tot juni 2018 (wat voor Microsoft het vierde kwartaal was in zijn gebroken boekjaar). Vorig jaar heeft Vanhoutte ook al een privilege-escalatiebug in Windows ontdekt en gemeld.

I've confirmed that this works well in a fully-patched 64-bit Windows 10 system.
LPE right to SYSTEM! https://t.co/My1IevbWbz
— Will Dormann (@wdormann) August 27, 2018