Beveiligingsbedrijf Prevx heeft alarm geslagen toen bleek dat er een zwakke plek zit in volledig gepatchte versies van Windows. Kwaadwillenden kunnen er, zelfs in versies die relatief nieuwe beveiligingstechnieken als UAC bevatten, malware mee uitvoeren. En dat terwijl deze technieken juist bedoeld zijn om tegen exploits van dit soort lekken op te treden.

Buitenkansje

Er zijn nog geen aanvallen ‘in het wild’ waargenomen, maar dat zal volgens Prevx niet lang meer duren. Dit in verband met het feit dat de technische details van het lek al op een niet nader genoemd Chinees forum staan.

“We verwachten dat de exploit erg snel actief gebruikt zal worden door slechteriken. Het is simpelweg een kans die malware schrijvers niet kunnen laten liggen”, schrijft Prevx onderzoeker Marco Giuliani.

Weinig rechten, veel resultaat

De fout zit hem in win32k.sys. Dit is een deel van de Windows kernel en het lek komt voort uit een API met de naam NtGdiEnableEUDC. Deze API faalt jammerlijk in het verweer tegen ondeugdelijke gebruikersinvoer.

Aanvallers kunnen de bug uitbuiten door geheugenadressen te overschrijven en toe te wijzen aan kwaadaardige code. Het ernstige is dat dit geheel vervolgens wordt uitgevoerd met rechten op kernel mode niveau. Dit resulteert in het feit dat zelfs gebruikers of processen met weinig rechten code kunnen uitvoeren op een niveau waar normaal gesproken veel hogere privileges voor nodig zijn.

“Omdat de exploit rechten escaleert, omzeilt het verdedigingsmechanismen als User Account Control die in Windows Vista en Windows 7 zijn ingebouwd”, zegt Giuliani. “Alle versies van Windows XP, Vista en 7 in zowel 32 als 64 bit zijn kwetsbaar voor deze aanval.”

Twee open lekken

Microsoft zegt van het lek af te weten en onderzoekt de zaak. Dit is het tweede ernstige lek dat nu open staat. Begin deze maand werd ook een gat in alle versies van Internet Explorer ontdekt.