Microsoft & Zero-Day su Twitter : “Aggiornamento pronto per Martedì” :-)

Uno 0-day spunta su Twitter.

SandboxEscaper il 27 Agosto ha rilevato un bug di Microsoft postando anche un link per scaricare da GitHub il “pacchetto regalo” per constatare la bontà della sua scoperta.

ZeroDay
Microsoft & Zero-Day

Microsoft ha saltato di gioia alla rivelazione di una vulnerabilità zero-day sconosciuta in precedenza per il sistema operativo Windows 10 e Windows Server 2016 .

Il tweet è ora cancellato e ci sono voci che la stessa persona ha tentato di vendere lo zero-day via Reddit con lo stesso nome utente.

Will Dormann, analista di vulnerabilità presso il Centro di coordinamento CERT, ha rapidamente verificato il bug martedì (28 agosto) e ha detto che il bug è presente anche  in un sistema Windows 10 completamente patchato e che quindi l’attacco sicuramente va a buon fine.

La vulnerabilità in questione è un “privilege escalation vulnerability” che può consentire all’utente di ottenere privilegi di sistema. Ciò comporta un problema con l’interfaccia ALPC (Advanced Local Procedure Call) di Windows Task Scheduler. L’ALPC consente a un processo client in esecuzione all’interno del sistema operativo di chiedere a un processo server in esecuzione nello stesso sistema operativo di eseguire un’azione o fornire informazioni. La vulnerabilità mostra che è possibile utilizzare l’ALPC per ottenere l’accesso come amministratore di sistema su un sistema Windows.



Hanno scaricato exploit !

La dimostrazione pratica (exploit) messa on-line da @SandboxEscaper sicuramente sarà molto utile a tutti coloro che producono malware, in quanto può consentire loro di acquisire l’accesso di tipo amministrativo su sistemi.

Microsoft & Zero-Day : “Windows si impegna a indagare sui problemi di sicurezza segnalati e ad aggiornare in modo proattivo i dispositivi che hanno subito un impatto il prima possibile. La nostra politica standard è quella di fornire soluzioni attraverso il nostro attuale programma di aggiornamento del martedì”. Non è chiaro quando arriverà il patch, ma il prossimo martedì di Microsoft Patch previsto è l’11 settembre.”

E quindi bisogna aspettate questo 11 Settembre ! Microsoft & Zero-Day !

ah ….

Microsoft & Zero-Day

Solution

The CERT/CC is currently unaware of a practical solution to this problem.

 

https://www.kb.cert.org/vuls/id/906424

Vulnerability Note VU#906424

Microsoft Windows task scheduler contains a local privilege escalation vulnerability in the ALPC interface

Original Release date: 27 ago 2018 | Last revised: 29 ago 2018

Overview

Microsoft Windows task scheduler contains a local privilege escalation vulnerability in the Advanced Local Procedure Call (ALPC) interface, which can allow a local user to obtain SYSTEM privileges.

Description

The Microsoft Windows task scheduler SchRpcSetSecurity API contains a vulnerability in the handling of ALPC, which can allow a local user to gain SYSTEM privileges. We have confirmed that the public exploit code works on 64-bit Windows 10 and Windows Server 2016 systems. We have also confirmed compatibility with 32-bit Windows 10 with minor modifications to the public exploit code. Compatibility with other Windows versions is possible with further modifications.

Impact

A local user may be able to gain elevated (SYSTEM) privileges.

Solution

The CERT/CC is currently unaware of a practical solution to this problem.