Podatność krytyczna, 0-day, klasy EoP w Microsoft Defender

Szczegóły:

Opublikowano działający kod exploita pozwalający na podniesienie uprawnień do poziomu SYSTEM z wykorzystaniem dziury w systemie aktualizacji sygnatur w Microsoft Defender.

Sprawa jest nietypowa, bowiem Nightmare-Eclipse nie chciał bug bounty, ani nie poinformował producenta z wyprzedzeniem - po prostu opublikował działający exploit. Atak rozpoczyna się od systemu aktualizacji sygnatur Microsoft Defender, a następnie wykorzystuje RPC Defendera do uruchomienia procesu potomnego z uprawnieniami SYSTEM.

Nie wiadomo czy to element wojny cyfrowej Irańczyków, czy działanie niezależnego aktora. Efekt jest niczym w jednym z osławionych praw Murphyego - element zabezpieczający uszkadza element zabezpieczany.

Microsoft na razie analizuje kod i pracuje nad łatką.

Exploit jest publicznie dostępny w repozytorium Nightmare-Eclipse: https://github.com/Nightmare-Eclipse/BlueHammer