Gadgetshowto
Google's Project Zero (GPZ) -onderzoekers waren eerder dit jaar verantwoordelijk voor de ontdekking van de Meltdown- en Spectre-kwetsbaarheden in een breed scala aan processors. Nu hebben ze aangekondigd dat Windows 10 S van Microsoft lijdt aan een 'middelmatige' exploit waardoor gebruikers mogelijk willekeurige code kunnen uitvoeren om te jailbreaken wat in wezen een vergrendeld besturingssysteem is. Er lijkt momenteel geen externe code te zijn om de fout te misbruiken, wat betekent dat potentiële hackers fysieke toegang tot de apparaten nodig hebben om het besturingssysteem te ontgrendelen.
De onderzoekers zeggen dat de kwetsbaarheid voortkomt uit hoe Windows 10 S de identiteit van componenten met hoge bevoegdheden verifieert. Volgens de zeer technische notitie van GPZ:
“Wanneer een .NET COM-object wordt geïnstantieerd, wordt de CLSID die wordt doorgegeven aan het DllGetClassObject van mscoree alleen gebruikt om de registratie-informatie in HKCR op te zoeken. Op dit punt ... wordt de CLSID weggegooid en wordt het .NET-object gemaakt. Dit heeft een directe impact op het klassenbeleid omdat het een aanvaller in staat stelt registersleutels toe te voegen (inclusief aan HKCU) die een willekeurige zichtbare COM-klasse onder een van de toegestane CLSID's zouden laden. Omdat .NET het dan niet uitmaakt of het .NET-type die specifieke GUID heeft, kun je dit gebruiken om het uitvoeren van willekeurige code op te starten door misbruik te maken van zoiets als DotNetToJScript ”
Interessant is dat Google en Microsoft schijnbaar wat ruzie hebben gehad over de openbaarmaking van de kwetsbaarheden. Google zegt dat het Microsoft op 19 januari op de hoogte heeft gebracht van zijn ontdekking, waarna de reus uit Redmond 90 dagen had om de tekortkomingen op te lossen. Het blijkt dat Microsoft oorspronkelijk van plan was om de fix uit te brengen als onderdeel van de May Patch Tuesday. Google ging echter niet akkoord met het tijdsbestek, want dat was ver voorbij de deadline van 90 dagen.
De Redmond-gigant vroeg toen naar verluidt om een verlenging van de deadline van 14 dagen met een belofte om de patch uit te rollen met de aanstaande Redstone 4-update, maar Google wees Microsoft opnieuw af met het ontbreken van een specifieke ETA, wat leidde tot onenigheid.
