Nieuwe exploit voor Stuxnet-gat in Windows

Een hacker met het pseudoniem "webDEViL" heeft een exploit openbaar gemaakt die gebruik maakt van een kwetsbaarheid in de taakplanner van Windows. Deze zogenaamde Task Scheduler Privilege Escalation-aanval kan door het manipuleren van XML-schema bestanden via de COM-interface (Component Object Model) de computer volledig overnemen. Dat schrijft securitybedrijf Vulpen, dat de exploit heeft getest.

Kernelmanipulatie

Het overnemen van de Windows-computer gaat nog een niveau verder dan de normaal al felbegeerde beheerdersrechten (administrator); de exploitcode verkrijgt systeemrechten. Dat zogeheten Local System-account geeft namelijk toegang tot de kernel van Windows. De hack werkt in elk geval op zowel de 32- als de 64-bit uitvoeringen van Vista SP2, Windows 7 en Server 2008.

Dit lek voor het ongeoorloofd verkrijgen van privileges is de vierde kwetsbaarheid in Windows die wordt uitgebuit door de meest geavanceerde worm ter wereld, Stuxnet. Die complexe malware maakt simultaan gebruik van maar liefst vier verschillende zero-day gaten in Windows. Dat zijn gaten waar op het moment van misbruik nog geen patches voor waren.

Drie van de Stuxnet-gaten zijn inmiddels dichtgepleisterd door Microsoft, maar de vierde staat nog open. In september werden de eerste twee gepatcht, in oktober de derde. Tussentijds is nog bekend geworden dat Stuxnet ook gebruik kan maken van een Windows-lek waarvoor in 2008 al een patch is verschenen. Die is vaak echter niet geïnstalleerd op computers in netwerken van industriële apparatuur, waar Stuxnet speciaal voor is gemaakt.

Nog geen patch

Microsoft kon nog niet inhoudelijk reageren op het verschijnen van de exploitcode voor het laatste Stuxnet-gat. Het is dus nog niet bekend of en wanneer deze kwetsbaarheid wordt gepatcht. Ook Symantec, dat uitgebreid onderzoek doet naar Stuxnet, is om commentaar gevraagd.