Marco Giuliani i sikkerhetsselskapet Prevx, som forøvrig ble kjøpt av Webroot tidligere i denne måneden, forteller i et blogginnlegg om en ny, alvorlig nulldagssårbarhet i Windows. Den berører Windows XP og nyere.
Detaljer om sårbarheten har ifølge Guiliani blitt offentliggjort på et kinesisk forum.
Guiliani mener at sårbarheten er spesielt alvorlig fordi den finnes i win32k.sys, som er «kernel mode»-delen i Windows. Dette betyr at angrepskode kan kjøres «kernel mode», selv om den kjøres fra en konto som i utgangspunktet har begrensede privilegier.
_logo.svg.png){kind=logo}
Sårbarheten skyldes at det er noen inndata som programmeringsgrensesnittet NtGdiEnableEUDC i win32k.sys ikke validerer på riktig måte. Dette fører til en stakk-overflytsfeil, som kan utnyttes av angriperen til å kjøre vilkårlig kode.
Fordi en utnyttelse av sårbarheten gjør det mulig å oppnå økte privilegier, er Windows designet slik at angrepskoden også omgår blant annet User Account Control og Limited User Account-teknologiene som har blitt innført med Windows Vista og Windows 7.
Guiliani skriver at Prevx foreløpig ikke har sett noe tegn til skadevare som utnytter dette sikkerhetshullet, men at slik skadevare kan ventes om kort tid.
– Dette kan potensielt bli et mareritt på grunn av sårbarhetens egenskaper. Dette er en mulighet som skadevareforfatterne garantert ikke vil gå glipp av, skriver Guiliani.
Selv om detaljene om sårbarheten har blitt offentliggjort på kinesisk, vil ikke Prevx komme med flere opplysninger om sårbarheten. Selskapet samarbeider med Microsoft om å løse problemet.
I en twittermelding skriver Microsoft Security Response at selskapet etterforsker et PoC av en EoP som krever en lokal konto. PoC står for «Proof of Concept» (konseptbevis) mens EoP står for Escalation of Privileges (opptrapping av privilegier).
