Na segunda-feira, o utilizador do Twitter, SandboxEscaper, revelou a existência do bug na plataforma de microblogging. Conforme comunicado pelo website Register, o utilizador disse o seguinte:
“Here is the alpc bug as 0day. I don’t f**king care about life anymore. Neither do I ever again want to submit to MSFT anyway. F**k all of this shit.”
O utilizador vinculou também uma página do GitHub que parece conter uma prova de conceito (PoC) para a vulnerabilidade.
Após a divulgação, na terça-feira, Will Dormann, analista de vulnerabilidades da CERT / CC, verificou o erro, acrescentando que a falha de dia zero funciona “num sistema Windows 10 de 64 bits totalmente atualizado”.
A vulnerabilidade do Windows é descrita como uma falha de segurança de escalonamento de privilégios do agendador de tarefas do Microsoft Windows causada por erros no tratamento de sistemas ALPC (Advanced Local Procedure Call).
A vulnerabiliidade de dia zero permite que os utilizadores locais obtenham privilégios do sistema. Como o ALPC é um sistema local, o impacto é limitado, mas a divulgação pública de um dia zero ainda é provavelmente uma dor de cabeça.
Não há soluções conhecidas para a vulnerabilidade, que recebeu uma pontuação CVSS de 6,4 a 6,8.
O tweet do SandboxEscaper já foi excluído. No entanto, a Microsoft reconheceu o dia-zero, informando que “atualizará proativamente os dispositivos afetados o mais rápido possível”.
É provável que isso ocorra em 11 de setembro, o próximo Microsoft Patch Tuesday marcado, a menos que a empresa decida lançar um remendo adicional fora do prazo.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.