Координационный центр CERT (CERT/CC) уведомил об уязвимости в Windows, позволяющей локальному атакующему повысить привилегии.

Первым о проблеме сообщил пользователь Twitter под псевдонимом SandboxEscaper (на момент написания новости твит был удален). Он также опубликовал ссылку на репозиторий GitHub с PoC-кодом для данной уязвимости.

Специалист CERT/CC Фил Дорман (Phil Dormann) после появления твита от пользователя SandboxEscaper проверил поступившую информацию и подтвердил наличие проблемы. По его словам, атака работает на 64-разрядной Windows 10 со всеми актуальными на сегодняшний день обновлениями.

Эксперты отмечают, что перед проблемой уязвимы 64-разрядные версии Windows 10 и Windows Server 2016 и, скорее всего, другие ОС семейства Windows 64-разрядных версий, но для атаки на них понадобится внести изменения в код эксплоита.

CERT/CC провел более подробный анализ уязвимости и опубликовал соответствующее уведомление. Уязвимость затрагивает планировщик задач Windows и связана с обработкой Advanced Local Procedure Call (ALPC). С ее помощью злоумышленник может получить привилегии системы. Заставив жертву загрузить и запустить вредоносное приложение, атакующий может использовать привилегии системы для выведения вредоносного программного обеспечения за пределы контекста пользователя.

Корпорация Microsoft подтвердила что уже начала работы по подготовке исправлений, которые могут быть выпущены вместе с плановыми сентябрьскими бюллетенями безопасности.

Компания Acros Security выпустила временный патч для уязвимости в Task Scheduler ALPC в составе продукта 0patch. 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.

Нужно отметить, что специалисты Acros Security не в первый раз опережают инженеров Microsoft, выпуская неофициальные патчи для Windows. Так, в 2017 году разработчики 0patch аналогичным образом устранили уязвимость в Windows GDI.