- ‘Chaotic Eclipse’-onderzoekers onthullen een nieuwe Microsoft Defender zero-day genaamd RedSun
- De fout maakt lokale escalatie van bevoegdheden naar SYSTEEM mogelijk door misbruik te maken van het bestandsherschrijfgedrag van Defender
- Verschijnt een paar dagen na de release van BlueHammer; Microsoft zei dat het de gecoördineerde openbaarmaking heeft onderzocht en ondersteund
De ontevreden onderzoeker die onlangs een zero-day-kwetsbaarheid in Windows aan het licht bracht, heeft het nu opnieuw gedaan, dit keer gericht op Microsoft Defender, de eigen antivirusoplossing van het besturingssysteem.
Een onderzoeker onder de alias “Chaotic Eclipse” heeft een proof-of-concept (PoC) exploit gepost voor een kwetsbaarheid die zij “RedSun” hebben genoemd. Dit is een lokale escalatiefout van bevoegdheden waardoor kwaadwillende actoren SYSTEEMrechten kunnen verwerven in recente versies van Windows 10, Windows 11 en Windows Server, met Windows Defender ingeschakeld.
“Wanneer Windows Defender zich realiseert dat een kwaadaardig bestand een tagwolk heeft, om welke stomme of grappige reden dan ook, besluit de antivirus die geacht wordt te beschermen dat het een goed idee zou zijn om het gevonden bestand naar de oorspronkelijke locatie te herschrijven”, schreef Chaotic Eclipse. “PoC misbruikt dit gedrag om systeembestanden te overschrijven en beheerdersrechten te verkrijgen.”
Artikel gaat hieronder verder
“Afschuwelijke ervaring”
BleepingComputer bevestigde dat de fout werkt, en zei dat sommige antivirusleveranciers op VirusTotal deze al hebben gedetecteerd omdat het uitvoerbare bestand een ingesloten EIRCAR (antivirustestbestand) bevat.
Dit nieuws komt ongeveer tien dagen nadat Chaotic Eclipse code heeft vrijgegeven voor BlueHammer, een escalatiefout in bevoegdheden waarmee lokale aanvallers SYSTEEM- of verhoogde beheerdersrechten kunnen verkrijgen op doeleindpunten.
Blijkbaar was de onderzoeker ontevreden over de manier waarop Microsoft omging met de openbaarmaking van de kwetsbaarheid.
“Normaal gesproken zou ik het proces doorlopen waarbij ik hen zou vragen de bugs op te lossen, maar om samen te vatten: ik kreeg persoonlijk van hen te horen dat ze mijn leven gingen verpesten en dat deden ze. Ik weet niet zeker of ik de enige ben die deze vreselijke ervaring heeft gehad of slechts een paar mensen, maar ik denk dat de meesten het gewoon zullen opeten en hun verliezen zullen beperken, maar voor mij hebben ze het allemaal in zich opgenomen”, zei Chaotic Eclipse blijkbaar.
“Ze dweilden met mij de vloer en speelden elk kinderachtig spelletje dat ze maar konden. Het was zo erg dat ik me op een gegeven moment afvroeg of ik te maken had met een groot bedrijf of met iemand die het gewoon leuk vond om mij te zien lijden, maar het leek een collectieve beslissing.”
Als reactie daarop zei Microsoft dat het een “klantverplichting had om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen apparaten te updaten om klanten zo snel mogelijk te beschermen.
“We ondersteunen ook de gecoördineerde openbaarmaking van kwetsbaarheden, een algemeen aanvaarde praktijk in de sector die ervoor zorgt dat problemen zorgvuldig worden onderzocht en aangepakt voordat ze aan het publiek worden bekendgemaakt, waardoor de bescherming van klanten en de veiligheidsonderzoeksgemeenschap wordt ondersteund”, vertelde de woordvoerder aan de publicatie.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om nieuws, recensies en onze deskundige meningen in uw feed te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons Wat is het Ook.
