Une nouvelle vulnérabilité de Windows zéro jour a été annoncé par le CERT / CC. L'organisation vient de mettre un avertissement de la faille qui est décrit comme une escalade de privilège.
La vulnérabilité a d'abord été annoncé sur Twitter par SandboxEscaper qui a également dit qu'il est un zéro jour avec une preuve de concept publié sur GitHub.
Nouveau officiellement Zero-Day dans Windows Vérifié
Plus loin sur la ligne, le zéro jour a été vérifiée par l'analyste de vulnérabilité CERT / CC Phil Dormann qui a tweeté ce qui suit:
« Je l'ai confirmé que cela fonctionne bien dans un 64 bits entièrement patché de Windows 10 système. LPE [Privilège local Escalation] droit à SYSTEME!"
Une enquête officielle a eu lieu, menée par CERT / CC. Voici ce qui est dans la note de vulnérabilité officielle posté par le CERT / CC:
La vulnérabilité VU # 906424 Remarque
planificateur de tâches Microsoft Windows contient une vulnérabilité locale d'escalade de privilèges dans l'interface ALPC.
Apparemment, planificateur de tâches Microsoft Windows contient la vulnérabilité locale d'escalade de privilège en question, qui est situé dans l'avancée des appels locaux Procédure (ALPC) interface. Le bug zéro jour peut permettre à un utilisateur local d'obtenir des privilèges SYSTEM.
Les informations sur la vulnérabilité est encore insuffisante, et être attribué a pas non plus un identifiant CVE. Cependant, on sait qu'il ouvre une brèche et permet un vecteur d'attaque bien connue.
Si un acteur malveillant réussit à duper un utilisateur à télécharger et exécuter une application, un morceau de logiciel malveillant est activé par l'escalade des privilèges locaux. La chaîne d'attaque se termine à l'obtention de privilèges système.
Il n'y a toujours pas de solution connue à ce problème, et Microsoft sera très probablement réparer par Patch Tuesday.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: