Grudniowe biuletyny bezpieczeństwa dla systemu Windows powinny być już dostępne dla każdego w Windows Update. Nie warto zwlekać z ich instalacją – paczka zawiera między innymi na łatkę exploit 0-day, jaki w systemie Microsoftu znaleźli esksperci z Kaspersky Lab.

Luka w jądrze Windowsa

Podatność CVE-2018-8611 to luka w jądrze systemu, która dotąd byłą wykorzystywana na dość niewielką skalę, przede wszystkim na Bliskim Wschodzie i w Azji. W związku z tym, że mamy do czynienia z explotem 0-day, informacje o podatności właśnie stały się ogólnodostępne i wykorzystać może je każdy. To dlatego tak ważne jest, by nie zwlekać z instalacją grudniowych łatek.

Od strony technicznej CVE-2018-8611 wynika z niepoprawnej obsługi obiektów w pamięci – konkretnie w działającej w jądrze usłudze Kernel Transaction Manager (KTM), która po raz pierwszy pojawiła się w Windowsie Vista. Umożliwia ona utworzenie systemu do transakcyjnego przetwarzania danych. Atakujący może wykorzystać błąd w obsłudze przez nią obiektów do eskalacji uprawnień.

Trzeci 0-day w ciągu trzech miesięcy

KTM, podobnie jak wykorzystywany do ataku menedżer zasobów i operacje działają w trybie jądra systemowego, więc atakujący ma w zasadzie nieograniczoną swobodę: może modyfikować pliki, instalować oprogramowanie, a nawet tworzyć nowe konta użytkownika z pełnią praw administratora. Microsoft potwierdza, że podatność była wykorzystywana w praktyce, jednak o skali i miejscu działań nie wiemy nic ponad ogólnikami, jakie udostępnił Kaspersky.

Łatki bezpieczeństwa, które rozprawiają się z luką, wydane zostały już dla systemów Windows 7, 8, 8.1 i 10, a także Windows Server 2008, 2012, 2016 i 2019. Warto przypomnieć, że w ciągu ostatnich trzech miesięcy jest to już trzeci exploit dnia zerowego w Windowsie opublikowany przez Kaspersky Lab.