Błąd w jądrze Windows pozwala ominąć UAC

Kolejny błąd Zero-Day platformy Windows dotyczy win32k.sys (krytyczny składnik jądra Windows) i wygląda na to, że tym razem problem będzie poważnym wyzwaniem dla świata bezpieczeństwa. Zagrożenie wywoływane jest poprzez przepełnienie bufora w pliku jądra, które pozwala na uruchomienie kodu z pominięciem UAC w systemie Windows Vista i Windows 7.

Bardziej szczegółowo, luka bezpieczeństwa dotyczy API RtlQueryRegistryValues, które odpowiada za odpytywanie wartości rejestrów zgodnie z tabelą zapytań, a pole EntryContext stanowi bufor wyjściowy. Do wykorzystania luki konieczne jest utworzenie przez atakującego zmodyfikowanego klucza Rejestru lub możliwość manipulowania kluczem Rejestru, do którego wystarcza dostęp na prawach zwykłego użytkownika. Ze względu na naturę luki, dalszych szczegółów nie ujawnimy.

Wystarczy powiedzieć, że działający proof-of-concept przez kilka godzin dostępny był na jednej z bardzo popularnych stron dotyczących programowania. Demonstracja zawierała instrukcję krok po kroku, a także binaria oraz kody źródłowe potrzebne do pokonania UAC. Ze względu na to, że błąd win32k.sys wciąż jest niezałatany, a kod exploita został upubliczniony, możemy się spodziewać, że już wkrótce luka będzie wykorzystywana przez malware.

Eksperci do spraw bezpieczeństwa zalecają unikanie pobierania plików z niezaufanych źródeł. Ponadto należy pamiętać aby zainstalować i na bieżąco aktualizować program antywirusowy.

Źródło: Marken Systemy Antywirusowe

Podziel się:
  • Wykop
  • Twitter
  • Gwar
  • Digg
  • Google Bookmarks
  • MySpace
  • del.icio.us
  • Facebook
  • RSS

4 thoughts on “Błąd w jądrze Windows pozwala ominąć UAC

  1. @ michał:
    najbardziej brute-force’owa metoda: zrób format c: i zainstaluj od nowa/zainstaluj inny system.
    Innych rozwiązań nie oczekuj, bo podałeś tak ogólny problem że może to być WSZYSTKO( nie tylko oprogramowanie, ale też sprzęt). Zapytaj na innym forum, podaj większą ilość szczegółów.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *