Windows-expert Sami Laiho schrijft dat hij een lek in Windows 10 heeft gevonden dat een lokale aanvaller BitLocker-versleuteling laat omzeilen en beheerderstoegang laat verkrijgen. Microsoft heeft inmiddels een patch uitgebracht.

 

Windows 10

Laiho meldt op zijn blog dat zijn methode te maken heeft met zogenaamde 'feature updates' van Windows 10, waar bijvoorbeeld de Anniversary Update en updates naar nieuwe Insider-builds onder vallen. Deze updates worden doorgevoerd door een image aan te maken en deze te installeren met de 'pre-installation environment' van Windows, aldus Laiho. Tijdens dit proces is het mogelijk om via de al bekende toetsencombinatie shift en f10 bij de opdrachtprompt te komen. Op deze manier kan een aanvaller bij de bestanden op de harde schijf, die normaal gesproken door BitLocker zijn versleuteld. Daarnaast geeft deze methode toegang op System-niveau, dat alleen voor beheerders is bedoeld.

In een bijbehorende video op het blog laat Laiho met een voorbeeld zien hoe hij tijdens de update het commando voor plaktoetsen, sethc.exe, vervangt voor de opdrachtprompt. Daardoor kan hij voor het inloggen op zijn beperkte account toegang krijgen tot een opdrachtprompt met beheerdersrechten door vijf keer shift in te drukken. Dat is normaal gesproken de manier om plaktoetsen te activeren. Zo kan hij zijn account aan de lokale beheerders toevoegen.

Volgens Laiho is de methode te gebruiken door een aanvaller die alleen op de volgende update hoeft te wachten of toegang moet krijgen tot het Insider-programma. Hij stelt dat gebruik van het lek voorkomen kan worden door geen onbeheerde updates uit te voeren en de Insiders 'goed in de gaten te houden'. Een andere mogelijkheid is het gebruik van een ltsb-versie van Windows. Dit lijkt echter niet de meest werkbare optie, doordat deze versie bepaalde beperkingen kent. Laiho stelt dat deze methode vanaf Windows 7 zou moeten werken, maar dat de 'in-place' manier van updaten bij die versie niet voorkomt.

Reacties mogelijk gemaakt door CComment