Midden maart rapporteerden we over een Zero Day-bedreiging die Windows 7 en Windows 10- gebaseerde computers op risico zette. En vooral serieus was het geval van de eerste, een besturingssysteem dat niet langer door Microsoft wordt ondersteund.
Nu, rond 2021, is er opnieuw een Zero Day-kwetsbaarheid opgedoken die van invloed is op computers met Windows 7 en Windows Server 2008 R2. Een uiterst ernstige inbreuk op de beveiliging waarvoor een corrigerende patch moet worden uitgebracht die de beveiliging herstelt naar die versie van Windows, die nog steeds op veel computers wordt gebruikt.
Windows 7 weer in gevaar
De kwetsbaarheid, bij toeval ontdekt door een Franse onderzoeker, Clément Labro, zit in twee verkeerd geconfigureerde registersleutels voor de RPC Endpoint Mapper en DNSCache-services die deel uitmaken van alle Windows-installaties.
- HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
- HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache
Met deze inbreuk in het besturingssysteem om te onthouden, eindigde de ondersteuning op 14 januari 2020, een aanvaller met toegang tot een voet aan de grond op verzwakte systemen, kan de getroffen registersleutels wijzigen en activeer een subsleutel die doorgaans wordt gebruikt door het prestatiecontrolemechanisme van een toepassing in Windows.
Met deze subsleutels kunnen ontwikkelaars hun eigen DLL's laden en zo de applicatie volgen. En hoewel deze DLL's momenteel erg smal zijn, was het in versies zoals de getroffen nog steeds mogelijk om aangepaste DLL's te laden die draaiden met privileges op SYSTEEM-niveau.
Met deze gegevens op tafel, blijft het wachten op de reactie van Microsoft op een atypisch geval. Aan de ene kant zitten we met een besturingssysteem dat niet meer ondersteund wordt. Zowel Windows 7 als Windows Server 2008 R2 hebben geen beveiligingsupdates en alleen die Windows 7-gebruikers die zich abonneren op het ESU-programma (Extended Support Updates) hebben extra updates, hoewel deze hiaat-beveiliging voorlopig niet is gepatcht
Ook. de toevallige ontdekking door de bovengenoemde onderzoeker en de haast om de bug te vinden, heeft het onmogelijk gemaakt om het gebruikelijke proces te volgen waarin, voordat de bug publiekelijk wordt aangekondigd, het getroffen bedrijf wordt geïnformeerd, in dit geval Microsoft, zodat het de juiste correctie lanceert.
Geconfronteerd met deze dreiging, heeft ZDNet gemeld dat ze, nadat ze contact hebben opgenomen met Microsoft, geen officieel antwoord hebben ontvangen over de kwestie, dus we zullen moeten wachten om erachter te komen of Microsoft uiteindelijk besluit om laat een patchlos om het systeem te corrigeren. Iets wat niet kan worden uitgesloten, aangezien Microsoft al speciale patches voor Windows 7 heeft uitgebracht.
Terwijl het bedrijf ACROS Security een micropatch heeft gemaakt die wordt geïnstalleerd via de beveiligingssoftware van het bedrijf 0patch.
