24-ого ноября была раскрыта 0day уязвимость, затрагивающая все наиболее популярные ныне операционные системы семейства Windows, а именно Windows XP, Vista, 7, а также Windows Server 2008. На данный момент под ударом находятся даже системы со всеми установленными обновлениями безопасности, причём как 32-х, так и 64-х битные редакции. Технические детали уже были опубликованы на китайском форуме и привели к предположению, что скоро злоумышленники начнут вовсю использовать уязвимость.Эксплойт использует баг в файле win32k.sys, входящем в ядро Windows, и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Злоумышленники могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами. В силу своей природы, эксплойт обходит защиту, обеспечиваемую технологией UAC (User Account Control), присутствующей в Windows Vista и Windows 7. Использование для работы учётной записи, не имеющей прав администратора, соответственно, тоже не спасает. Стоит отметить, что на данный момент эксплойт правильно срабатывает не на всех версиях ядра — в некоторых случаях наблюдается BSOD, но, вероятно, потенциальному злоумышленнику не составит труда модифицировать его для работы и на других версиях.
Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
Представители компании Microsoft сообщили, что они в курсе проблемы и занимаются её изучением. Данная уязвимость является уже вторым 0day багом в продуктах Microsoft за последний месяц — ранее была обнаружена уязвимость в Internet Explorer.
