In het rijtje kwetsbare Windows-versies noemt Ormandy niet de meest recente serverversie (2012) van Microsofts besturingssysteem. Alle andere versies en varianten worden wel genoemd als zijnde vatbaar voor de lokale exploit die toegang op kernelniveau geeft. Het gaat om een kwetsbaarheid in de Windows-kerneldriver Win32k.sys.

De bekende security-expert, die in dienst is bij Google, heeft die kwetsbaarheid twee weken terug geopenbaard. Toen was er nog geen manier om er concreet misbruik van te maken middels malware. Wel was het mogelijk om crashes te veroorzaken. Nu heeft Ormandy zijn 0-day weten om te zetten in een misbruikbaar beveiligingsgat.

Idee aangedragen

Daarbij spreekt de onderzoeker zijn dank uit voor hulp van hacker progmboy die hem een idee voor exploitation heeft geopperd waar hij zelf niet aan had gedacht. Dit is het terugspringen tijdens de hele complex triggering van de kwetsbaarheid om een SystemCall-parameter op te halen. Dat levert dan, uiteindelijk, de mogelijkheid op om eigen code uit te voeren op een Windows-systeem.

De 'tussenstap' aangedragen door Programmeboy moet mogelijk wel enkele keren achter elkaar worden uitgevoerd, merkt Ormandy op. De benodigde geheugentoewijzing (allocation) om de eigen code uit te voeren, treedt namelijk niet altijd meteen op. "Het crash niet als het niet werkt, dus je kunt het blijven proberen", geeft de security-expert als aanwijzing. Hij weet niet zeker of dit nog valt te verbeteren, om de exploit betrouwbaarder of sneller te maken.

Lokaal, maar wel Ring 0

De maandag geopenbaarde exploit raakt de kernel, die draait in het zogeheten Ring 0 van het besturingssysteem. De impact is nog enigszins beperkt doordat het gaat om een lokale exploit. Een kwaadwillende moet dus al zijn binnengedrongen op een computer om deze aanvalscode los te kunnen laten. Dan valt een Windows-machine echter wel volledig te pwnen.