Hacker openbaart zero-day lekken Windows 10 en biedt meer te koop aan

Een hacker met de naam SandboxEscaper heeft drie zero-day lekken in Windows 10 openbaar gemaakt. Een update voor de lekken is er nog niet. De lekken betreffen onder andere de Windows Taakplanner.

Nu worden er natuurlijk aan de lopende band lekken gevonden in software, maar dit geval is bijzonder, omdat:

• de lekken niet eerst aan Microsoft gemeld zijn (reponsible disclosure) maar gelijk - met werkende voorbeeldcode - op internet gezet zijn. Echte zero-day lekken dus, want Microsoft heeft niet de kans gekregen de lekken te dichten voordat ze openbaar gemaakt werden.
• de hacker - genaamd SandboxEscaper - zegt nog meer lekken in Windows 10 te hebben ontdekt en biedt die te koop aan, meldt BleepingComputer (LPE is local privilege escalation):

If any non-western people want to buy LPEs, let me know. (Windows LPE only, not doing any other research nor interested in doing so). Won't sell for less then 60k for an LPE.

I don't owe society a single thing. Just want to get rich and give you *** in the west the middlefinger.

• In toch nog meer een mannenwereldje misschien opvallend: SandboxEscaper is een vrouw.

Microsoft heeft nog niet gereageerd op de lekken, maar ze zijn wel bevestigt door andere beveiligingsonderzoekers en het Nationaal Cyber Security Centrum heeft al een waarschuwing voor één lek uitgegeven. Door het Taakplanner-lek kunnen lokale gebruikers beheerdersrechten krijgen op een systeem.