Net na Windows-update met 570 patches duikt er nieuwe, gevaarlijke zero-day op

Niet toevallig heeft Microsoft net zijn juli-update voor Windows gelanceerd of daar is NightmareEclypse al met een volgende zero-day (via Ars Technica). Hij publiceerde de exploitcode die zou toelaten om beheerdersrechten te krijgen via Windows-accounts met beperkte rechten. Opnieuw moet Microsoft nu aan het werk om dit lek te dichten.
NightmareEclypse heeft al negen kwetsbaarheden publiek gemaakt, omdat hij of zij niet opgezet is met hoe de fabrikant omgaat met meldingen van kwetsbaarheden. Opnieuw kwam de onderzoeker met het nodige bewijs op de proppen, in de vorm van exploitcode, maar dan wel voldoende uitgekleed, zodat aanvallers er niet meteen mee aan de slag kunnen. Andere onderzoekers gaven al toe dat de code wel degelijk werkt.
Wat doet HiveLegacy?
HiveLegacy is een privilege-escalatie-exploit die misbruik maakt van een kwetsbaarheid in de Windows User Profile Service, de Windows-dienst die de gebruikersprofielen beheert. Daarmee kunnen gebruikers met beperkte systeemrechten rommelen in het account van een beheerder. Dat kan door door de zogenoemde classes registry hive van die beheerder aan te passen. Dat registerbestand bepaalt welk programma wordt geopend wanneer je op een bestand klikt.
Een aanvaller zou dus wijzigingen kunnen aanbrengen in het Windows-register dat gekoppeld is aan een beheerdersaccount. Zoals HiveLegacy er nu uitziet, moet de aanvaller ook de inloggegevens van een andere gebruiker binnen hetzelfde systeem kennen. Maar ook dat hoeft geen beheerder te zijn. Daarnaast moet de aanvaller ook nog de gebruikersnaam kennen van een derde account op hetzelfde systeem. Ook hier maakt het niet uit of die beheerdersrechten heeft.
Daarna kan je code laten uitvoeren wanneer de beheerder zich aanmeldt en kan je eigenlijk over beheerdersrechten beschikken. Het opent de deuren naar verder misbruik, waarvoor zelfs geen interactie van de gebruikers nodig is. Bovendien zou je deze exploit kunnen combineren met een andere kwetsbaarheid.
Liever op een andere manier
Uiteraard onderzoekt Microsoft intussen al deze kwetsbaarheid, maar het bedrijf laat weten dat het de voorkeur geeft aan een andere aanpak. In principe is het de bedoeling dat onderzoekers een vaste weg volgen om kwetsbaarheden te rapporteren.
Wie zich zorgen maakt over mogelijk misbruik, kan een detectiescript van onderzoeker Kevin Beaumont uitvoeren. Daarnaast is het aangeraden om geen extra lokale, niet-gebruikersaccounts aan te maken, te monitoren op onverwachte hive-loads van de ProfSvc-service, en activiteiten rond NTUSER.DAT en UsrClass.dat te volgen.










