В Windows 7 и Windows Server 2008 обнаружена очередная "уязвимость нулевого дня" (то есть ранее не известная). Исследователь нашел ее, когда разрабатывал новую версию приложения для управления безопасностью операционной системы, пишет ZDnet.
Уязвимость, обнаруженная французским исследователем в области кибербезопасности Клеманом Лабро, связана с неправильной конфигурацией двух ключей системного реестра. Воспользовавшись этим, имеющий прямой или удаленный доступ к системе злоумышленник может активировать дополнительные возможности механизма Windows Performance Monitoring.
Обычно это применяется для мониторинга производительности приложений и позволяет их разработчикам подгружать собственные исполняемые DLL-библиотеки. В последних версиях Windows такие библиотеки ограничены в правах, однако, как обнаружил Лабро, в Windows 7 и Windows Server 2008 R2 они получают привилегии на уровне операционной системы. Это дает практически полный контроль над компьютером и данными на нем.
Обычно такого рода находки принято раскрывать компаниям-разработчикам ПО конфиденциально, чтобы они могли устранить их до того, как уязвимость станет общеизвестной. Однако в данном случае было слишком поздно — Лабро нашел дыру в безопасности уже после того, как выпустил обновление своей программы PrivescCheck. Новая версия приложения начала предупреждать пользователей о потенциально опасной ошибке конфигурации. Расследуя эти сообщения, разработчик и наткнулся на ранее неизвестную уязвимость.
Windows 7 и Windows Server 2008 R2 уже не поддерживаются Microsoft — отдельные патчи выпускаются только в рамках платной программы поддержки. Пока что уязвимость, найденная французским исследователем, не устранена и в них.
