Windows 7, Vista şi XP
sunt potenţiale victime pentru un nou exploit de tip
0-day, ce permite executarea de cod maliţios din conturi
de utilizator cu drepturi limitate, trecând peste barierele de
securitate impuse de sistemul User Acount Control, sau UAC după cum
este cunoscut utilizatorilor sistemelor de operare Microsoft.
Vulnerabilitatea dezvăluită pe un forum chinez
de mesaje, poziţionează problema în jurul unei slăbiciuni din
driver-ul win32k.sys, care serveşte drept
interfaţă pentru diverse componente ale sistemului de operare
Windows.
Această vulnerabilitatea poate fi exploatată
pentru escaladarea privilegiilor unui cont de utilizator cu acces
limitat, pentru a executa cod maliţios la nivel kernel mode, cu
drepturi de acces nelimitate asupra sistemului de operare şi
driverele de sistem. Acest mod de acces, care ocoleşte complet
barierele de securitate Windows, permite aplicaţiilor maliţioase să
opereze la acelaşi nivel cu driverele de sistem şi însuşi kernel-ul
sistemului de operare
Windows, îngreunând sarcina programelor antivirus de a detecta
şi înlătura intruziunile realizate în acest mod.
Conform explicaţiilor unei companii de
securitate, o componentă din fişierul Win32k.sys numită
NtGdiEnableEUDC API, realizează o validare
incorectă a anumitor comenzi, cauzând astfel apariţia unei erori de
tip stack overflow ce suprascrie adresa de
întoarcere a comenzii aflate în memorie. Un atacator poate exploata
această vulnerabilitate prin redirecţionarea adresei de întoarcere
suprascrisă către propria aplicaţie, pe care o poate executa apoi
cu drepturi de acces nelimitate.
Momentan nu există nici un fel de informaţii
cu privire la cazuri de exploatare a acestei vulnerabilităţi, dar
ţinând cont de faptul că aceasta a fost făcută publică în mediul
online împreună cu un exemplu de cod ce demonstrează modul în care
poate fi folosită, este doar o chestiune de timp până ce atacatorii
vor pune în uz practic aceste informaţii pentru a înlesni
propagarea viruşilor şi a aplicaţiilor de tip
mallware.
Între timp Microsoft a confirmat în
mod public vulnerabilitatea, precizând că în prezent
investighează o nouă vulnerabilitate ce poate permite atacatorilor
să execute cod maliţios din conturi de utilizator cu acces limitat.
Cu alte cuvinte problema este recunoscută şi se aflată în curs de
investigare, dar momentan nu există nici o soluţie
pentru protecţia milioanelor de calculatoare vulnerabile, alta
decât înăsprirea măsurilor de securitate şi ţinerea la zi a bazei
de date cu semnături, folosită de programele antivirus.
Utilizatorii sistemelor de operare
Windows XP şi toate versiunile intermediare ce ajung până la
Vista şi Windows 7, sunt vulnerabili în faţa acestui exploit
prin care se poate executa cod maliţios, infectând atât sisteme de
operare pe 32 biţi, dar şi versiunile pe
64 biţi.