Spoločnosť Microsoft nedávno predstavila novú aktualizáciu funkcií systému Windows 10. Spoločnosť zjavne ignorovala hlavnú bezpečnostnú chybu, ktorá existovala v systéme Windows 10.

Táto chyba bola zistená v rozšírených nastaveniach Plánovača úloh. Táto chyba zabezpečenia umožňuje hackerom získať úplné administratívne práva na vaše súbory.

Výskumník s názvom SandboxEscaper prvý krát chybu odhalil a zverejnil ho online. Výskumník to vzal do Githubu a zverejnil zraniteľnosť v nultý deň na platforme.

Odteraz spoločnosť Microsoft neuznávala chybu zabezpečenia v Plánovači úloh. Keď spoločnosť potvrdí chybu, bude čoskoro k dispozícii bezpečnostná oprava.

Prekvapivo používateľ Twitter odhalil nulové ciele zraniteľnosti tých systémov Windows 10, ktoré nedávno nainštalovali Windows 10 v1903. Používateľ ďalej uviedol, že túto chybu môže ľahko zneužiť ktokoľvek.

Môžem potvrdiť, že to funguje tak, ako je, na plne záplatovanom (máj 2019) systéme Windows 10 x86. Súbor, ktorý bol predtým úplne pod kontrolou iba SYSTÉMU a TrustedInstaller, je teraz pod plnou kontrolou obmedzeného užívateľa Windows.

Funguje to rýchlo a 100% času pri mojom testovaní. pic.twitter.com/5C73UzRqQk

- Will Dormann (@ Wdormann) 21. mája 2019

Spoločnosť SandboxEscaper tiež vydala video, ktoré demonštruje útok typu POC (proof-of-concept).

SandboxEscaper práve vydal toto video, ako aj POC pre Windows 10 priv esc pic.twitter.com/IZZzVFOBZc

- Chase Dardaman (@ CharlesDardaman) 21. mája 2019

Najmä výskumný pracovník ďalej tvrdí, že v OS Windows 10 identifikoval 4 ďalšie nedostatky. Jedna z týchto zraniteľností umožňuje vykorisťovateľovi obísť bezpečnosť karantény. Spoločnosť Microsoft musí konať rýchlo a opraviť túto chybu zabezpečenia skôr, ako spôsobí nejaké vážne poškodenie.

Spoločnosť SandboxEscaper predtým zistila niekoľko slabých miest v nultom dni. Užívateľ však nikdy neinformoval spoločnosť Microsoft o týchto problémoch skôr, ako ich vydal.

Používatelia Reddit chceli, aby spoločnosť Microsoft najskôr informovala o problémoch.

Desivé! Existuje dôvod, prečo ju zverejnila? Želala by si, aby to aspoň oznámila spoločnosti Microsoft a dala im šancu. Prinajmenšom ide iba o LPE.

Pokiaľ ide o nedávnu zraniteľnosť, očakáva sa, že spoločnosť Microsoft vydá potrebné opravy v utorok.