Nulldagssårbarhet i Microsoft Windows

Publisert: 24.09.2018

Det er offentliggjort en nulldagssårbarhet (Local Privilege Escalation) for Microsoft Windows på GitHub[1]. Et proof-of-concept med dokumentasjon samt video ble lagt ut sammen med koden for å demonstrere at sårbarheten virker.

Sårbarheten ligger i hvordan Task Scheduler bruker et metodekall i ALPC-interfacet. ALPC (Advanced Local Procedure Call) tilrettelegger for at prosesser og kjernekomponenter kan kommunisere seg i mellom. En angriper kan utnytte sårbarheten ved å bruke Task Scheduler til å kjøre et hvilket som helst program som SYSTEM.

I følge The Register [2] er Microsoft er kjent med sårbarheten og viser til deres månedlige sikkerhetsoppdateringer som et tidspunkt på når sårbarheten tidligst vil bli rettet.

CERT/CC gir sårbarheten en CVSS Base score på 6.8 [3].

Vi i NorCERT er ikke kjent med utnyttelse av sårbarheten i Norge. Da ALPC er en kritisk del av Windows kan ikke sårbarheten mitigeres. Vi anbefaler at man utviser generell varsomhet frem til en patch foreligger.

  1. https://github.com/SandboxEscaper/randomrepo
  2. Windows 0-day pops up out of nowhere Twitter https://www.theregister.co.uk/2018/08/28/windows_zero_day_lpe/
  3. https://www.kb.cert.org/vuls/id/906424