Én balga rázártam a böngészőablakot a legújabb Windows privilégiumemelős bug leírására (a második a héten, és meg csak szerda van!), közben meg leszedték az oldalt, és még Google cache-ben sincs meg :,(

Szóval arról van szó, hogy a win32k.sys-ben található egyik függvény puffer túlcsordulást okoz, amenniyben egy speciális értéket tartalmazó registriy-kulcs hivatkozást adunk át neki, ami kódfuttatást tesz lehetővé SYSTEM jogkörrel. A trükk az, hogy nem minden registry kulcsot módosíthat egy sima felhasználó, valamint ha jól sejtem a PoC alapján, a sebezhető kódrészlet sem érhető el közvetlenül. AppWizard, az exploit kiagyalója viszont talált egy megfelelő kulcs-függvény párost, nevezetesen a

HKCU\EUDC\<aktuális kódlap>\SystemDefaultEUDCFont - EnableEUDC()

duettet, ami alkalmas a célra. A hiba emellett más kombinációkkal is kihasználható lehet. Ha megtalálom az eredeti leírást, frissítek, addig is szép álmokat!

Frissítés:

A hiba a win32k.sys NtGdiEnableEUDC() API-t érinti, az pedig kimaradt, hogy a probléma Windows Vistán, 7-en és 2008-on használható ki, mind 32, mind 64 bites platformokon.

Frissítés2:

Megvan a mirror! A fő bűnüs az RtlQueryRegistryValues függvény, ami egyszerre több registry érték kiolvasására alkalmas. A függvény kimenő paraméterben adja vissza ezeket az érékeket, az összeállított struktúrában szerepelhetnek unicode karakterláncok és ULONG adatok is. A baj az, hogy a fent említett registry kulcs olvasásakor a függvény feltételezi, hogy egy unicode stringet kap, aminek első néhány bájtja határozza meg a hosszát. ULONG érték esetén azonban ez a feltevés helytelennek bizonyul, és túl sok adat kerül a stackre.