Nieuws

Net na Windows-update met 570 patches duikt er nieuwe, gevaarlijke zero-day op

© Microsoft
Nog maar net is de juli-update voor Windows uit, inclusief patches voor 570 kwetsbaarheden, of Microsoft mag al opnieuw aan het werk met deze gevaarlijke zero-day.

Niet toevallig heeft Microsoft net zijn juli-update voor Windows gelanceerd of daar is NightmareEclypse al met een volgende zero-day (via Ars Technica). Hij publiceerde de exploitcode die zou toelaten om beheerdersrechten te krijgen via Windows-accounts met beperkte rechten. Opnieuw moet Microsoft nu aan het werk om dit lek te dichten.

NightmareEclypse heeft al negen kwetsbaarheden publiek gemaakt, omdat hij of zij niet opgezet is met hoe de fabrikant omgaat met meldingen van kwetsbaarheden. Opnieuw kwam de onderzoeker met het nodige bewijs op de proppen, in de vorm van exploitcode, maar dan wel voldoende uitgekleed, zodat aanvallers er niet meteen mee aan de slag kunnen. Andere onderzoekers gaven al toe dat de code wel degelijk werkt.

Wat doet HiveLegacy?

HiveLegacy is een privilege-escalatie-exploit die misbruik maakt van een kwetsbaarheid in de Windows User Profile Service, de Windows-dienst die de gebruikersprofielen beheert. Daarmee kunnen gebruikers met beperkte systeemrechten rommelen in het account van een beheerder. Dat kan door door de zogenoemde classes registry hive van die beheerder aan te passen. Dat registerbestand bepaalt welk programma wordt geopend wanneer je op een bestand klikt.

Een aanvaller zou dus wijzigingen kunnen aanbrengen in het Windows-register dat gekoppeld is aan een beheerdersaccount. Zoals HiveLegacy er nu uitziet, moet de aanvaller ook de inloggegevens van een andere gebruiker binnen hetzelfde systeem kennen. Maar ook dat hoeft geen beheerder te zijn. Daarnaast moet de aanvaller ook nog de gebruikersnaam kennen van een derde account op hetzelfde systeem. Ook hier maakt het niet uit of die beheerdersrechten heeft.

Daarna kan je code laten uitvoeren wanneer de beheerder zich aanmeldt en kan je eigenlijk over beheerdersrechten beschikken. Het opent de deuren naar verder misbruik, waarvoor zelfs geen interactie van de gebruikers nodig is. Bovendien zou je deze exploit kunnen combineren met een andere kwetsbaarheid.

Liever op een andere manier

Uiteraard onderzoekt Microsoft intussen al deze kwetsbaarheid, maar het bedrijf laat weten dat het de voorkeur geeft aan een andere aanpak. In principe is het de bedoeling dat onderzoekers een vaste weg volgen om kwetsbaarheden te rapporteren.

Wie zich zorgen maakt over mogelijk misbruik, kan een detectiescript van onderzoeker Kevin Beaumont uitvoeren. Daarnaast is het aangeraden om geen extra lokale, niet-gebruikersaccounts aan te maken, te monitoren op onverwachte hive-loads van de ProfSvc-service, en activiteiten rond NTUSER.DAT en UsrClass.dat te volgen.

Uitgelicht artikel Juli-update Windows 11 patcht 570 (!) lekken en bug die opslagruimte vreet

Google Voeg TechPulse.be toe als favoriete bron op Google!
beveiligingmicrosoftWindowswindows 11

Gerelateerde artikelen

Volg ons

Google Voeg TechPulse.be toe als favoriete bron op Google!
Haal een HomeWizard in huis en krijg een gratis Energy Display én €50 shoptegoed

Haal een HomeWizard in huis en krijg een gratis Energy Display én €50 shoptegoed

Bespaar nu