Izkoriščanja sta nedavno odkrili dve ločeni skupini neodvisnih raziskovalcev kibernetske varnosti v najnovejših različicah operacijskega sistema Windows 10/11 in Linux.
Obe ranljivosti lahko hekerji izkoristijo, da uporabnikom brez skrbnikov omogočijo popoln dostop do ustreznega operacijskega sistema.
Izkoriščanje sistema Windows je odkril varnostni raziskovalec Jonas Lykkegaard, ki je svoje ugotovitve delil na Twitterju. Lykkegaard je odkril, da so datoteke registra Windows 10 in 11, povezane z upraviteljem varnostnih računov (SAM), dostopne skupini »Uporabnik«, ki ima minimalne pravice dostopa do računalnika.
SAM je zbirka podatkov, ki shranjuje uporabniške račune in deskriptorje računov. S to napako bi lahko zlonamerni akterji po mnenju Microsofta "… nameščali programe; ogledovali, spreminjali ali brisali podatke; ali ustvarjali nove račune s polnimi uporabniškimi pravicami."
Ranljivost Linuxa so odkrili raziskovalci podjetja za kibernetsko varnost Qualys z ekipo, ki je hrošča poimenovala "Sequoia." Glede na objavo na Qualysovem blogu so raziskovalci potrdili, da je Sequoio mogoče najti v "privzetih namestitvah Ubuntu 20.04, [20.10], [21.04], Debian 11 in Fedora 34 Workstation."
Čeprav tega še niso potrdili, raziskovalci menijo, da bi lahko imeli to ranljivost tudi drugi sistemi Linux.
V varnostnem svetovanju je Microsoft potrdil, da izkoriščanje vpliva na Windows 10 različice 1809 in novejše sisteme. Različica 1809 je bila izdana oktobra 2018, tako da imajo različice operacijskega sistema, izdane od takrat, napako. Podjetje še ni izdalo popravka za odpravo izkoriščanja, do takrat pa je Microsoft zagotovil začasno rešitev, ki jo lahko najdete v zgoraj omenjenem nasvetu.
Kar zadeva Linux, je Qualys izdal videoposnetek o dokazilu koncepta, v katerem je podrobno opisano, kako je mogoče izvesti izkoriščanje, in uporabnikom priporoča, da nemudoma popravijo to ranljivost. Podjetje trenutno dela na izdajanju popravkov, ko bodo na voljo, tako da bodo morali uporabniki Linuxa počakati. Uporabniki lahko te popravke najdejo na blogu Qualys.