Hacker vindt zero-day om bestanden te overschrijven in Windows 10

Een hacker heeft een nieuwe manier gevonden om in te breken op het Windows 10 app security model. SandboxEscaper, die de afgelopen vier maanden drie zero-day bugs wist te vinden in Windows, heeft er nog een gevonden. Het gaat om een fout waardoor het mogelijk is om bestanden te overschrijven.

De veiligheidsonderzoeker publiceerde op de site GitHub proof-of-concept code waarmee pci.sys-code overschreven wordt. Dat bestand is noodzakelijk voor de fysieke hardware in een apparaat en als het niet goed geconfigureerd is, kan een apparaat niet opstarten. Dankzij de bug kan het bestand overschreven worden met arbitraire data, waardoor een computer onbruikbaar wordt.

Proof-of-concept

SandboxEscaper maakt bij de proof-of-concept code gebruik van informatie over software- en hardwarematige problemen die ze verzamelt via de Windows Error Reporting (WER) feedbackinfrastructuur. De onderzoeker stelt dat haar exploit niet altijd werkt en ook niet op elke CPU hetzelfde effect zal hebben.

Zo was ze er niet toe in staat om de bug te herhalen op een apparaat met slechts één CPU-kern. Het kan ook enige tijd duren voordat de bug daadwerkelijk uitgebuit is. Volgens SandBoxEscaper steunt de exploit namelijk op een bepaalde omstandigheid waarin Windows moet verkeren. Is dat niet het geval, krijgt de exploit ook niet de gewenste uitkomst.

Dat onderschrijft Will Dormann, een veiligheidsanalist bij CERT/CC ook, die de bug succesvol kon uitbuiten in Windows 10 Home, build 17134. Volgens Dormann lukt het slechts “enkele keren” om de bug daadwerkelijk uit te buiten.

Maar zoals CEO Mitja Kolsek van Acros Security duidelijk maakt: het maakt niet heel veel uit of de bug slechts één op de honderd keer succesvol is. Als deze uitgebuit kan worden, is dat al een probleem.

De exploit is de tweede die SandboxEscaper publiekelijk bekend maakt deze maand. Op 19 december publiceerde ze ook al code die het mogelijk maakt om bepaalde bestanden uit te lezen. Eind augustus en oktober publiceerde ze verder exploits die het mogelijk maakten om privileges te escaleren.