Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы.

Брешь нулевого дня, получившая название BearLPE, выявила исследовательница под псевдонимом SandboxEscaper. Ошибка позволяет киберпреступнику добавить в список активных заданий свой JOB-файл и выполнить его с системными правами.

По словам ИБ-специалистов, для проведения атаки злоумышленник должен запустить на Windows 10 исполняемый файл планировщика задач Windows XP. В этом случае метод SchRpcSetSecurity обращается к библиотеке taskcomp.dll и получает от нее инструкции по запуску сценариев с правами SYSTEM, а не USER. Аналитики подчеркнули, что SchRpcSetSecurity работает корректно, а баг связан с неправильным назначением привилегий процессу, инициирующему вызов.

Заплатка 0patch содержит корректирующие инструкции, которые предотвращают эскалацию прав. Патч доступен для 32/64-битных Windows 10 v1809 и Windows Server 2019, однако по запросу своих клиентов разработчики могут выпустить исправление для любой другой версии или сборки ОС.

Микропатч исправляет ошибку, внося изменения в уже запущенные процессы. Для его работы требуется присутствие утилиты 0patch, которая отслеживает работу уязвимых программ и  «на лету» подключает к ним заплатку. Специалисты опубликовали видео, в котором демонстрируют неработоспособность эксплойта BearLPE в случае активации их программы.

Компания ACROS не первый раз закрывает баги, найденные SandboxEscaper. В январе этого года ИБ-специалисты выпустили микропатч для уязвимости AngryPolarBearBug, которая позволяла злоумышленнику записывать произвольную информацию в любые файлы Windows. Так же, как и в этот раз, 0patch предоставила временное решение, устраняющее 0-day до момента выпуска заплатки вендором.

Очередной комплект обновлений безопасности Microsoft ожидается через неделю, 11 июня.

Категории: Главное, Кибероборона, Уязвимости