Windows al maanden kwetsbaar door zero-day lek

Een zero-day kwetsbaarheid in Windows 10, Windows 11 en Windows Server geeft kwaadwillenden de mogelijkheid beheerdersrechten in handen te krijgen. De kwetsbaarheid is al enkele maanden bekend en ondanks twee eerdere patches vooralsnog niet verholpen. Een onofficiële patch dicht het lek wel.

Het gaat om een kwetsbaarheid in Windows User Profile Service, die is geïdentificeerd als CVE-2021-34484. De kwetsbaarheid krijgt een CVSS V3 score van 7,8. Bleeping Computer wijst erop dat de kwetsbaarheid in de zomer al is ontdekt door onderzoeker Abdelhamid Naceri. Naceri informeerde Microsoft, die in augustus 2021 een patch uitbracht. Korte tijd later meldde Naceri echter dat deze patch de kwetsbaarheid niet verhelpt. Microsoft bracht in januari 2022 een tweede patch uit. Ook in dit geval vond Naceri echter een manier om de fix te omzeilen.

opatch, dat onofficiële pataches uitbrengt voor Windows-versies die niet langer worden ondersteund en kwetsbaarheden die door Microsoft niet worden opgelost, bracht in november al een onofficiële update voor Windows uit die het probleem verhelpt. Deze onofficiële patch is nu door opatch geschikt gemaakt voor de updates die in maart op Patch Tuesday zijn vrijgegeven. De patch is gratis beschikbaar voor geregistreerde gebruikers. De patch is geschikt voor:

• Windows 10 v21H1 (32 & 64 bit) met maart 2022 updates
• Windows 10 v20H2 (32 & 64 bit) met maart 2022 updates
• Windows 10 v1909 (32 & 64 bit) met maart 2022 updates
• Windows Server 2019 64 bit met maart 2022 updates