Kaksi erillistä riippumattomien kyberturvallisuustutkijoiden ryhmää löysi äskettäin hyväksikäyttöjä Windows 10/11:n ja Linuxin uusimmista versioista.
Hakkerit voivat hyödyntää molempia haavoittuvuuksia antaakseen muille kuin järjestelmänvalvojille täyden pääsyn kyseiseen käyttöjärjestelmään.
Windowsin hyväksikäytön löysi tietoturvatutkija Jonas Lykkegaard, joka jakoi havainnot Twitterissä. Lykkegaard havaitsi, että Security Account Manageriin (SAM) liittyvät Windows 10- ja 11-rekisteritiedostot ovat "Käyttäjä"-ryhmän käytettävissä, jolla on minimaaliset käyttöoikeudet tietokoneessa.
SAM on tietokanta, joka tallentaa käyttäjätilit ja tilikuvaukset. Tämän virheen avulla pahantahtoiset toimijat voivat Microsoftin mukaan "…asentaa ohjelmia; tarkastella, muuttaa tai poistaa tietoja tai luoda uusia tilejä, joilla on täydet käyttöoikeudet."
Kyberturvallisuusyrityksen Qualysin tutkijat löysivät Linux-haavoittuvuuden, kun tiimi antoi virheen nimeksi "Sequoia". Qualysin blogissa olevan viestin mukaan tutkijat vahvistivat, että Sequoia löytyi "Ubuntu 20.04:n, [20.10]:n, [21.04], Debian 11:n ja Fedora 34 Workstationin oletusasennuksista".
Vaikka he eivät ole vielä vahvistaneet sitä, tutkijat ehdottavat, että muissa Linux-järjestelmissä voi olla haavoittuvuus.
Suojaustiedotteessa Microsoft vahvisti, että hyväksikäyttö vaikuttaa Windows 10 -versioon 1809 ja uudempiin järjestelmiin. Versio 1809 julkaistiin lokakuussa 2018, joten sen jälkeen julkaistuissa käyttöjärjestelmän versioissa on virhe. Yritys ei ole vielä julkaissut korjaustiedostoa hyväksikäytön korjaamiseksi, mutta siihen asti Microsoft on toimittanut väliaikaisen kiertotaparatkaisun, joka löytyy edellä mainitusta neuvonnasta.
Linuxin os alta Qualys julkaisi kokeiluvideon, jossa kerrotaan, kuinka hyväksikäyttö voidaan tehdä, ja suosittelee, että käyttäjät korjaavat tämän haavoittuvuuden välittömästi. Yritys työstää parhaillaan korjaustiedostojen julkaisemista sitä mukaa, kun niitä tulee saataville, joten Linux-käyttäjien on odotettava. Käyttäjät voivat löytää nämä korjaustiedostot Qualys-blogista.