„Microsoft“ neseniai išleido naują „Windows 10“ funkcijų atnaujinimą. Matyt, bendrovė ignoravo didelę saugumo klaidą, egzistavusią „Windows 10“.

Trūkumas buvo pastebėtas išplėstiniuose užduočių tvarkaraščio nustatymuose. Dėl šio pažeidžiamumo įsilaužėliai gali gauti visas jūsų failų administracines teises.

Tyrėjas, vardu SandboxEscaper, pirmiausia pastebėjo pažeidžiamumą ir paskelbė jį internete. Tyrėjas nuvežė jį į „Github“ ir platformoje paskelbė nulinės dienos pažeidžiamumą.

Nuo šiol „Microsoft“ nepripažino užduočių planavimo priemonės saugos trūkumų. Kai įmonė pripažins klaidą, netrukus bus prieinamas saugos pleistras.

Keista, bet „Twitter“ vartotojas atskleidė nulinės dienos pažeidžiamumą, nukreiptą į tas „Windows 10“ sistemas, kurios neseniai įdiegė „Windows 10 v1903“. Be to, vartotojas pareiškė, kad bet kas gali lengvai išnaudoti pažeidžiamumą.

Galiu patvirtinti, kad tai veikia visiškai pakeista (2019 m. Gegužės mėn.) „Windows 10 x86“ sistema. Failą, kurį anksčiau visiškai kontroliavo tik SISTEMA ir „TrustedInstaller“, dabar visiškai kontroliuoja ribotas „Windows“ vartotojas.

Veikia greitai ir 100% laiko testuoju. pic.twitter.com/5C73UzRqQk

- Willas Dormannas (@wdormann) 2019 m. Gegužės 21 d

„SandboxEscaper“ taip pat išleido vaizdo įrašą, kuriame pademonstravo koncepcijos įrodymo (POC) ataką.

„SandboxEscaper“ ką tik išleido šį vaizdo įrašą, taip pat POC, skirtą „Windows 10 priv esc pic.twitter.com/IZZzVFOBZc“.

- Chase'as Dardamanas (@CharlesDardaman), 2019 m. Gegužės 21 d

Pabrėžtina, kad tyrėjas taip pat teigia nustatęs 4 papildomus „Windows 10“ OS trūkumus. Vienas iš šių pažeidžiamumų leidžia išnaudotojui apeiti smėlio dėžės saugumą. „Microsoft“ turi greitai veikti ir pataisyti šią pažeidžiamumą, kad ji nepadarytų rimtos žalos.

„SandboxEscaper“ anksčiau pastebėjo keletą nulinės dienos spragų. Tačiau vartotojas niekada neinformavo „Microsoft“ apie šias problemas, prieš pradėdamas jas atleisti.

„Reddit“ vartotojai norėjo, kad ji pirmiausia praneštų „Microsoft“ apie problemas.

Baugus! Ar yra priežastis, kodėl ji tai išleido viešai? Norėčiau, kad ji bent jau praneštų „Microsoft“ ir suteiktų jiems galimybę. Bent jau tai tik LPE.

Tikimasi, kad, atsižvelgiant į pastarojo meto pažeidžiamumą, „Microsoft“ antradienį pataisys reikiamus pataisas.