A SophosLabs kutatói egy eddig ismeretlen Windows sérülékenységre hívták fel a közvélemény figyelmét, amelynek leírása egy programozói oldalon volt rövid ideig elérhető. A rés kihasználásával a támadók megváltoztathatják a rendszerek jogosultságait, így kikerülve a Windows 7 és a Vista UAC (User Accout Control) védelmi mechanizmusát, amely a felhasználói fiókokat felügyeli, hogy az alkalmazások ne férhessenek hozzá a rendszer magjához.
"Az exploit a win32k.sys hibáját használja ki, amely a Windows kernel része. A sérülékenység abból adódik, hogy a platform miként képes kezelni a registry bejegyzéseket, és így a támadó miként képes teljhatalmat szerezni a Windows rendszer felett" - írja a Naked Security blogban Chester Wisniewski a Sophos tanácsadója. A szakértő elmondása alapján a hiba az érintett két Windows kiadás mellett a Windows XP és a Windows Server 2008 R2 platformokat is érinti, ráadásul már aktív támadás alatt áll. Az interneten ugyanis nem sokkal a sérülékenység publikálása után megjelent az első résre utazó Troj/EUDPoC-A kártevő.
A Sophos mérnöke egy YouTube-ra feltöltött videóban azt is bemutatta, hogy miként lehet kihasználni a Windows friss sérülékenységét, amely mellett egy ideiglenes gyógymódot is javasol. Iránymutatása alapján a következőképpen védhetik le rendszereiket a Windows felhasználók:
- Indítsuk el a beállításszerkesztőt (regedit.exe)
- Navigáljunk a HKEY_USERS elemekhez, amelyet bontsunk ki, majd jobb egérgombbal kattintsunk az EUDC elemre
- A felugró menüben érvényesítsük ki a "Jogosultságok..." opciót
- Ezt követően a megjelenő panelen válasszuk ki az aktívan használt profilt, majd kattintsunk a "Speciális gombra".
- Itt a "Hozzáadás..." utasítás útján menjünk tovább, majd a megjelenő ablakba írjuk be a profil nevét és üssünk Entert
- Végül a felugró ablakban tiltsuk le az "alkulcs létrehozása" és a "törlés" engedélyeket, majd az "OK" gombbal véglegesítsük a műveletet
A Microsoft szóvivőjének az elmondása alapján a redmondi szoftvercég már vizsgálja a sérülékenységet, amit később a Microsoft Security Response Twitter oldalán is megerősítettek.
