Microsoft je nedavno predstavil novo posodobitev funkcij sistema Windows 10. Očitno je podjetje prezrlo večjo varnostno napako, ki je obstajala v sistemu Windows 10.

Napaka je bila opažena v naprednih nastavitvah orodja za načrtovanje opravil. Ta ranljivost omogoča hekerjem, da dobijo popolne skrbniške privilegije nad svojimi datotekami.

Raziskovalec po imenu SandboxEscaper je prvi opazil ranljivost in jo objavil na spletu. Raziskovalec jo je odnesel v Github in na platformo objavil ranljivost brez dneva.

Od zdaj Microsoft ni priznal napake v varnosti v urniku opravil. Ko podjetje potrdi napako, bo varnostni popravek kmalu na voljo.

Presenetljivo je, da je uporabnik Twitterja razkril, da so cilji na ranljivost nični dnevi tisti sistem Windows 10, ki je pred kratkim namestil Windows 10 v1903. Poleg tega je uporabnik izjavil, da lahko vsakdo zlahka izkoristi ranljivost.

Lahko potrdim, da to deluje kot da je v popolnoma zakrpanem sistemu Windows 10 x86 (maj 2019). Datoteko, ki je prej bila pod popolnim nadzorom le sistema SYSTEM in TrustedInstaller, je zdaj pod popolnim nadzorom omejen uporabnik sistema Windows.

Deluje hitro, v testiranju pa 100% časa. pic.twitter.com/5C73UzRqQk

- Will Dormann (@wdormann) 21. maja 2019

SandboxEscaper je objavil tudi videoposnetek, s katerim demonstrira napad proti dokazu (POC).

SandboxEscaper je pravkar izdal ta video in POC za Windows 10 priv esc pic.twitter.com/IZZzVFOBZc

- Chase Dardaman (@CharlesDardaman) 21. maja 2019

Raziskovalci še trdijo, da so v operacijskem sistemu Windows 10 ugotovili 4 dodatne napake. Ena od teh ranljivosti omogoča, da izkoriščevalec preseže varnost peskovnika. Microsoft mora ukrepati hitro in popraviti to ranljivost, preden povzroči resno škodo.

SandboxEscaper je pred tem odkril več ranljivosti brez dnevnega dne. Vendar uporabnik nikoli ni obvestil Microsofta o težavah, preden jih je izdal.

Uporabniki Reddita so želeli, da je o težavah najprej obvestila Microsoft.

Strašljivo! Ali obstaja razlog, da ga je javno izpustila? Želela bi si, da bi vsaj obvestila Microsoft in jim ponudila priložnost. Vsaj to so samo LPE-ji.

Kar zadeva zadnjo ranljivost, naj bi Microsoft v torek izdal potrebne popravke.