В ноябре 2017 года специалист Google Project Zero Джеймс Форшоу (James Forshaw) обнаружил проблему CVE-2018-0826 в Windows Storage Services. Баг представляет опасность для Windows 10 и Windows Server 2016, связан с работой функции SvcMoveFileInheritSecurity, и позволяет атакующему повысить свои привилегии в системе двумя различными способами.
Эксплуатируя данный баг, злоумышленник способен копировать или перезаписывать файлы, к которым в нормальных обстоятельствах он не должен иметь доступа (например, в директории Windows). Так как файлы, расположенные в определенных директориях, могут автоматически выполняться различными доверенными приложениями, обнаруженная Форшоу проблема является весьма серьезной.
Исследователь специально заполнил два отдельных баг-репорта, чтобы инженеры Microsoft обратили внимание на оба варианта эксплуатации проблемы, однако, как выяснилось теперь, не помогло даже это.
На прошлой неделе, в рамках февральского «вторника обновлений», компания Microsoft выпустила исправления для 50 уязвимостей в составе Windows, Office и своих браузерах. Среди устраненных багов была и проблема CVE-2018-0826, однако Форшоу обнаружил, что разработчики закрыли возможность эксплуатации уязвимости первым способом, тогда как второй способ по-прежнему работает.
Эксперт Google обновил оригинальный баг-репорт и предупредил, что уязвимость не была устранена, так как представители Microsoft решили, что сообщения Форшоу дублировали друг друга, а не являлись разными векторами использования бага.
Также специалист выразил несогласие с тем, что в Microsoft уязвимость классифицировали как «важную» (important), тогда как в Google проблеме присвоили статус «критической» (critical). Форшоу поясняет, что для эксплуатации бреши атакующему нужно заранее получить доступ к целевой машине, а также иметь права пользователя, но эксперт подчеркивает, что эскалацию привилегий нельзя недооценивать даже в такой ситуации. По словам Форшоу, использование проблемы является опасно легким, а значит, злоумышленники могут сочетать эксплуатацию этого бага с другими эксплоитами.
Специалисты Google Project Zero критикуют Microsoft уже второй раз на этой неделе. Ранее Иван Фратрик (Ivan Fratric) раскрыл информацию о баге в браузере Microsoft Edge, который помогает обойти защитный механизм Arbitrary Code Guard (ACG). При этом патча для этой уязвимости пока нет, и раньше марта 2018 года его релиза ожидать не следует.