Een gefrustreerde 'onderzoeker' gooide maandag een Windows-zeroday op straat door een proof-of-concept van een exploit te tweeten en te publiceren op GitHub. Een CERT-analist bevestigde dat de exploiyt werkt op een volledig bijgewerkt 64-bit Windows 10-pc en CERT waarschuwde direct voor een kwetsbaarheid in Taakbeheer waarmee een aanvaller rechten kan escaleren.

Sysmon gebruiken

Beveiligingsonderzoeker Kevin Beaumont schrijft hier over de beperkingen van de exploit en andere manieren om de ALPC-kwetsbaarheid die Taakbeheer in de problemen heeft gebracht te benutten. Hij heeft de code van de kwetsbaarheid ook op GitHub gepubliceerd, zodat het makkelijker te analyseren is.

Hij geeft ook tips om misbruik te detecteren: "Als je Microsoft Sysmin gebruikt, kijk dan of spoolsv.exe abnormale processen genereert - dat is een duidelijk teken dat de expoit (of een andere Spooler-exploit) wordt gebruikt. Kijk ook of connhost.exe (Taakplanner) abnormale processen aanmaakt (bijvoorbeeld de Print Spooler).

Noodpatch?

De daadwerkelijke oplossing moet van Microsoft komen. De volgende Patch Tuesday staat gepland voor 11 september 2018, maar omdat kwaadwillenden met de PoC-code aan de slag kunnen en anders twee weken de tijd hebben om hun malware door dit gat af te vuren, bestaat de kans dat de Windows-maker tussendoor een noodpatch uitbrengt.

The Register meldde gisteren dat Microsoft de zaak monitort en "proactief advies uitbrengt", mocht dat nodig blijken.