Сбой в ядре Windows позволяет обойти пользовательский контроль

Компания BitDefender, разработчик программных продуктов в области информационной безопасности, сообщила о новой найденной уязвимости нулевого дня в Windows. Она использует файл win32k.sys (критический компонент ядра Windows). В результате переполнения буфера в файле ядра появляется возможность обойти Контроль учетных записей Vista и Windows 7.

Непосредственно атаке подвергается RtlQueryRegistryValues API, используемый для получения различных значений ключей реестра с помощью таблицы запросов и имеющий EntryContext в качестве буфера вывода. Для успешного обхода защиты злоумышленник должен создать поврежденный ключ реестра или управлять ключами, доступ к которым разрешен только обычным пользователям.

Демонстрация работы эксплойта и успешного обхода системы контроля учетных записей была в течение нескольких часов проведена в Интернете на одном из чрезвычайно популярных программистских веб-сайтов. Она включала публикацию пошагового руководства, а также исполняемых файлов и исходного кода. Обновление для блокировки этой уязвимости еще не выпущено, поэтому есть все основания полагать, что она будет использована вирусописателями для производства новых модификаций вирусов. В данный момент мы работаем над созданием механизма базовой защиты, который сможет блокировать несанкционированный доступ к ядру.

Для поддержания безопасности системы и  данных, BitDefender рекомендует устанавливать и постоянно обновлять полный пакет антивирусного ПО, включающий антивирус, антиспам, антифишинг и брандмауэр.

Источник новости: BitDefender