Op Twitter heeft iemand een tot nu toe onbekende kwetsbaarheid voor Windows 10 bekendgemaakt waarmee een aanvaller meer rechten kan verkrijgen. Het Amerikaanse CERT bevestigt dit. Er lijkt niet meteen een oplossing voorhanden.

 

De inmiddels verwijderde tweet spreekt van een ALPC-bug met een link naar Github. Intussen heeft een medewerker van het Amerikaanse CERT bevestigd dat de kwetsbaarheid werkt op een volledig gepatcht Windows 10 64 bit systeem. CERT heeft een pagina opgesteld over het probleem, maar een eenvoudige manier om het probleem te vermijden of beperken is er niet.

Concreet gaat het om een kwetsbaarheid in het Taakbeheer in Windows, specifiek in de ALPC-interface. Dat is de Advanced Local Procedure Call, een mechanisme voor hoe het besturingssysteem processen laat omgaan met gedeelde data.

Als de kwetsbaarheid met succes wordt toegepast, kan een hacker meer rechten krijgen over een computer. Een van de mogelijke toepassingen daarvoor is een gebruiker overtuigen om een malafide toepassing te downloaden en installeren, waarna die toepassing het lek kan misbruiken om zichzelf meer toegang tot het systeem te verschaffen.

Een veiligheidsexpert heeft wel tips om te ontdekken of misbruik wordt gemaakt van het lek. "Als je Microsoft Sysmin gebruikt, kijk dan of spoolsv.exe abnormale processen genereert - dat is een duidelijk teken dat de expoit (of een andere Spooler-exploit) wordt gebruikt. Kijk ook of connhost.exe (Taakplanner) abnormale processen aanmaakt (bijvoorbeeld de Print Spooler)", zo schrijft hij.

Hoe ernstig het probleem is en of het ook effectief wordt misbruikt op dit moment is onduidelijk. Tegenover The Register zegt Microsoft dat het proactief een een update zal verspreiden. Vermoedelijk zal die er komen bij Patch Tuesday, de maandelijkse reeks updates die Microsoft elke tweede dinsdag van de maand uitstuurt