Op 27 augustus 2018 is er een nieuwe zero-day beveiligingslek in Windows 10 openbaar gemaakt, inclusief publiekelijk beschikbare exploitcode daarvoor. De werking van de code is bevestigd door security-onderzoeker Will Dormann, die is verbonden aan het CERT Coordination Center (CERT/CC).
Dormann heeft een korte advisory over deze zero-day exploit gepubliceerd. Daarin wordt uitgelegd dat de uitgebuite kwetsbaarheid zit in het Taakbeheer-component van Windows. Op Windows 10 heeft die tool een beveiligingslek in de ALPC-interface (Advanced Local Procedure Call (ALPC). Zoals de naam van die interface al aangeeft, gaat het om een lokale kwetsbaarheid. Hackgevaar via internet is er dus niet direct, maar wel indirect mogelijk.
Het grote gevaar zit erin dat deze zero-day exploit dan toegang tot Windows diepgaande SYSTEM-rechten geeft, wat de hacker meer macht geeft dan reguliere beheer-accounts (admin). Het standaard ingebouwde SYSTEM geniet zelfs enige mate van onzichtbaarheid (doordat het niet als account opduikt in gebruikersbeheer) en biedt in een bedrijfsomgeving toegang tot domain-servers.
Een workaround, laat staan een fix of patch, is nog niet beschikbaar. “Het CERT/CC is momenteel niet op de hoogte van een praktische oplossing voor dit probleem”, schrijft expert Dormann in zijn advisory. Hij heeft de exploit getest op een volledig bijgewerkt 64-bit Windows 10-systeem, waarop de escalatie van privileges inderdaad werkt.