Microsoft не усунула серйозну уразливість Windows 10

Випущений вчора Microsoft щомісячний патч безпеки не до кінця виправляє одну з серйозних вразливостей Windows. До такого висновку прийшли фахівці з кібербезпеки, які працюють в рамках проекту Google Project Zero (GPZ).

Нагадаємо, учасники GPZ займаються пошуком вразливостей в софтверних продуктах Google та інших виробників. Про виявлені баги вони повідомляють розробників, надаючи їм 90 днів на усунення проблеми, а по закінченню цього терміну публікують публічні звіти про свою роботу.

Однією з 120 вразливостей, виправлення яких включені в патч, який Microsoft запустила вчора в рамках програми Patch Tuesday, є CVE-2020-1509. Її експлуатація дозволяє зловмисникові за допомогою відправки спеціально створеного запиту підвищити привілеї в сервісі перевірки автентичності локальної системи безпеки (Local Security Authority Subsystem Service).

ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ

Проблему виявив дослідник GPZ Джеймс Форшоу (James Forshaw), а 5 травня про неї стало відомо Microsoft. Хоча вразливість за класифікацією Google має середню ступінь серйозності, LSASS є ключовим процесом при аутентифікації користувачів під час авторизації на комп’ютерах з Windows, керованих через Active Directory. Згідно з опублікованими даними, проблема зачіпає всі підтримувані версії Windows 10.

Відмова Google продовжити період, протягом якого дані про проблему не з будуть розкриті публічно, в даному випадку виглядає скоріше формальністю, оскільки фахівці GPZ були впевнені в тому, що вразливість буде виправлена ​​з виходом серпневого патча безпеки Microsoft. Джеймс Форшоу назвав помилку «виправленої», але через кілька годин додав новий коментар, в якому говорилося, що, по всій видимості, проблема вирішена не до кінця.

За словами Форшоу, LSASS не забезпечує належну перевірку справжності при отриманні доступу до Enterprise Authenticator через функцію єдиного входу. Завдяки цьому, будь-UWP-додаток, поміщене в ізольовану програмне середовище AppContainer, може проходити мережеву аутентифікацію з обліковими даними користувача через функцію єдиного входу.