Nesen Microsoft ieviesa jaunu Windows 10 funkciju atjauninājumu. Acīmredzot uzņēmums ignorēja būtisku drošības trūkumu, kas pastāvēja operētājsistēmā Windows 10.

Trūkums tika pamanīts uzlabotajos uzdevumu plānotāju iestatījumos. Šī ievainojamība ļauj hakeriem iegūt pilnīgas jūsu failu administratīvās privilēģijas.

Pētnieks ar nosaukumu SandboxEscaper vispirms pamanīja ievainojamību un ievietoja to tiešsaistē. Pētnieks to aizveda uz Github un platformā ievietoja nulles dienas ievainojamību.

Kopš šī brīža Microsoft neatzina drošības trūkumu uzdevumu plānotājā. Tiklīdz uzņēmums būs pamanījis kļūdu, ļoti drīz būs pieejams drošības ielāps.

Pārsteidzoši, Twitter lietotājs atklāja nulles dienas ievainojamību, kas paredzēta tām Windows 10 sistēmām, kuras nesen instalēja Windows 10 v1903. Turklāt lietotājs paziņoja, ka ikviens var viegli izmantot ievainojamību.

Es varu apstiprināt, ka tas darbojas pilnībā pilnībā izlabotā (2019. gada maijā) Windows 10 x86 sistēmā. Failu, kuru agrāk pilnībā kontrolēja tikai SISTĒMA un TrustedInstaller, tagad pilnībā kontrolē ierobežots Windows lietotājs.

Darbojas ātri un 100% laika notiek testēšana. pic.twitter.com/5C73UzRqQk

- Vils Dormans (@wdormann) 2019. gada 21. maijā

SandboxEscaper arī izlaida videoklipu, lai demonstrētu koncepcijas pierādīšanas (POC) uzbrukumu.

SandboxEscaper tikko izlaida šo videoklipu, kā arī POC operētājsistēmas Windows 10 priv esc pic.twitter.com/IZZzVFOBZc

- Chase Dardaman (@CharlesDardaman), 2019. gada 21. maijs

Proti, pētnieks apgalvo arī, ka ir identificējis 4 papildu trūkumus operētājsistēmā Windows 10. Viena no šīm ievainojamībām ļauj ekspluatētājam apiet smilšu kastes drošību. Microsoft ir jārīkojas ātri un jānolabo šī ievainojamība, pirms tā rada nopietnu kaitējumu.

SandboxEscaper iepriekš pamanīja vairākas nulles dienas ievainojamības. Tomēr lietotājs nekad nav informējis Microsoft par problēmām pirms to atbrīvošanas.

Reddit lietotāji vēlējās, lai viņa vispirms paziņo Microsoft par problēmām.

Biedējoši! Vai ir kāds iemesls, kāpēc viņa to publiski publiskoja? Vēlētos, lai viņa vismaz paziņotu Microsoft un dotu viņiem iespēju. Vismaz tās ir tikai LPE.

Saistībā ar neseno ievainojamību tiek gaidīts, ka Microsoft otrdien izlaidīs nepieciešamos ielāpus.