- Onderzoeker “Chaotic Eclipse” onthult nieuwe Microsoft Defender zero-day genaamd RedSun
- Flaw maakt escalatie van lokale privileges naar SYSTEM mogelijk door misbruik te maken van het herschrijfgedrag van Defender
- Komt dagen na de release van BlueHammer; Microsoft zegt dat het gecoördineerde openbaarmaking onderzoekt en ondersteunt
Dezelfde ontevreden onderzoeker die onlangs een zero-day-kwetsbaarheid in Windows onthulde, heeft het nu opnieuw gedaan, dit keer gericht op Microsoft Defender, de eigen antivirusoplossing van het besturingssysteem.
Een onderzoeker met de alias “Chaotic Eclipse” heeft een proof-of-concept (PoC) exploit gepost voor een kwetsbaarheid die hij “RedSun” noemde. Het is een lokale escalatiefout van privileges die kwaadwillende actoren SYSTEEMprivileges toestaat in de nieuwste versies van Windows 10, Windows 11 en Windows Server, met Windows Defender ingeschakeld.
“Wanneer Windows Defender zich realiseert dat een kwaadaardig bestand een cloudtag heeft, om wat voor stomme en hilarische reden dan ook, besluit de antivirus die zou moeten beschermen dat het een goed idee is om het gevonden bestand gewoon opnieuw te schrijven naar de oorspronkelijke locatie”, schreef Chaotic Eclipse. “De PoC misbruikt dit gedrag om systeembestanden te overschrijven en beheerdersrechten te verkrijgen.”
Artikel gaat hieronder verder
“Afschuwelijke ervaring”
BleepingComputer bevestigde dat de fout werkt, en zegt dat sommige antivirusleveranciers op VirusTotal deze al detecteren omdat het uitvoerbare bestand een ingesloten EIRCAR (antivirustestbestand) bevat.
Het nieuws komt ongeveer tien dagen nadat Chaotic Eclipse de code voor BlueHammer heeft vrijgegeven, een escalatiefout in bevoegdheden waarmee lokale aanvallers SYSTEEM- of verhoogde beheerdersrechten kunnen verkrijgen op het doeleindpunt.
Blijkbaar was de onderzoeker ontevreden over de manier waarop Microsoft omgaat met het openbaar maken van kwetsbaarheden.
“Normaal gesproken zou ik hen smeken om een bug te repareren, maar om samen te vatten: ik kreeg persoonlijk van hen te horen dat ze mijn leven zouden ruïneren en dat deden ze. Ik weet niet zeker of ik de enige was die deze afschuwelijke ervaring had of dat maar weinig mensen dat deden, maar ik denk dat de meesten het gewoon zouden opeten en hun verliezen zouden beperken, maar voor mij hebben ze alles weggenomen”, zei Chaotic Eclipse blijkbaar.
“Ze hebben met mij de vloer gedweild en elk kinderachtig spelletje uitgehaald dat ze maar konden. Het was op een gegeven moment zo erg dat ik me afvroeg of ik te maken had met een groot bedrijf of met iemand die er gewoon lol in had om mij te zien lijden, maar het lijkt een collectieve beslissing te zijn.”
In reactie hierop zei Microsoft dat het een “klantverplichting heeft om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen apparaten te updaten om klanten zo snel mogelijk te beschermen.
“We ondersteunen ook de gecoördineerde openbaarmaking van kwetsbaarheden, een algemeen aanvaarde praktijk in de sector die ervoor zorgt dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze openbaar worden gemaakt, waardoor zowel de bescherming van klanten als de veiligheidsonderzoeksgemeenschap wordt ondersteund”, vertelde de woordvoerder aan de publicatie.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
