Wyszukiwanie luk w zabezpieczeniach popularnych aplikacji i systemów to dla wielu branżowych gigantów chleb powszedni. Oprócz hobbystów tylko tym albo głównie tym zajmują się całe sztaby ludzi w takich firmach, jak Google, Microsoft, F-Secure czy Kaspersky. Ten ostatni znalazł w sierpniu podatność w Windows 10, aktywnie exploitowaną przez hakerów z Bliskiego Wschodu. Odpowiednia łatka została opublikowana przedwczoraj w ramach październikowego Patch Tuesday.
O podatności dowiadujemy się post factum dlatego, że Microsoft z publikacją łatki najwyraźniej wywiązał się z narzuconego terminu. Teraz, gdy Windows 10 jest już bezpieczny, firma może dokładniej opisać wspomnianą lukę. Została ona oznaczona jako CVE-2018-8453, zaś jej pełna nazwa to Win32k Elevation of Privilege Vulnerability. Jak informuje Microsoft, podatność stawała się aktywna i umożliwiała podniesienie uprawnień, kiedy komponent Win32k nie mógł prawidłowo obejść się z obiektami w pamięci. Atakujący w takiej sytuacji mógł wykonać arbitralny kod w trybie jądra, instalować programy, przeglądać, podmieniać i usuwać dane, a także tworzyć nowe konta z pełnymi uprawnieniami. Żeby jednak wykorzystać podatność, atakujący musiał najpierw zalogować się w systemie.
Kaspersky Lab dodaje z kolei, że proaktywnie rozpoznał lukę za pomocą wykrywania behawioralnego, Automatic Exploit Prevention dla punktów końcowych oraz silnika Advanced Sandboxing and Anti Malware dla Kaspersky Anti Targeted Attack Platform (KATA).
Nie wiadomo natomiast zbyt wiele o skali zagrożenia. Poinformowano tylko, że wysokiej jakości exploit był używany na Bliskim Wchodzie, a atakujący działali prawdopodobnie z ramienia państwowego. Kaspersky twierdzi jednak, że ofiar było zbyt mało, aby można było z całą pewnością mówić o wspólnym wzorze ataku.
341f31d.png)