Microsoft admite falha no Windows 10

Uma falha de escalonamento de privilégios no Windows 10 foi divulgada no início desta semana no Twitter. A falha permite que qualquer pessoa com a capacidade de executar código em um sistema aumente seus privilégios para o nível "SISTEMA", o nível usado pela maioria das partes do sistema operacional ea coisa mais próxima que o Windows tem de um superusuário todo poderoso. Esse tipo de falha de escalonamento de privilégios permite que os invasores saiam das caixas de proteção e das contas de usuários sem privilégios, para que possam comprometer mais completamente o sistema operacional.

A Microsoft não reconheceu exatamente que a falha existe; em vez disso, ele ofereceu uma declaração vaga e genérica: "O Windows tem um compromisso com o cliente para investigar problemas de segurança relatados e atualizar proativamente os dispositivos afetados o mais rápido possível. Nossa política padrão é fornecer soluções por meio da programação atualizada de terça-feira." Portanto, se a falha for confirmada (e certamente é real!), A empresa provavelmente a corrigirá em uma atualização regular lançada na segunda terça-feira de cada mês.

O tweet é vinculado a um repositório do GitHub que contém um write-up do problema e um código de demonstração para explorar a falha. O problema está no serviço Agendador de Tarefas: ele inclui uma API protegida indevidamente que permite que um invasor substitua a maioria dos arquivos no sistema pelo conteúdo de sua escolha. Sobrescrevendo um arquivo que é subseqüentemente carregado em um processo de nível privilegiado do SISTEMA, o invasor pode executar código de sua escolha com privilégios SYSTEM. A prova de conceito sobrescreve um arquivo usado pelo subsistema de impressão do Windows - o Windows executará o código do invasor quando for feita uma tentativa de impressão.

No tweet inicial divulgando a falha, a pesquisadora expressou alguma insatisfação não específica com a Microsoft, embora mais tarde tenha recuado, dizendo que a Microsoft é na verdade uma "companhia legal" e que está lutando contra a depressão (que certamente pode ser uma feraesmagadora ).