Een zeroday-kwetsbaarheid in Windows 10, 11 en Windows Server geeft kwaadwillenden de mogelijkheid beheerdersrechten in handen te krijgen. Het lek is al enkele maanden bekend en ondanks twee eerdere patches vooralsnog niet verholpen. Een onofficiële patch lost de problemen wél op.
Het gaat om een kwetsbaarheid in Windows User Profile Service, die is geïdentificeerd als CVE-2021-34484. Het lek krijgt een CVSS V3-score van 7,8. Bleeping Computer wijst erop dat de kwetsbaarheid in de zomer al is ontdekt door onderzoeker Abdelhamid Naceri. Die informeerde Microsoft, waarna het bedrijf in augustus 2021 een patch uitbracht.
Korte tijd later ontdekte Naceri echter dat deze patch de kwetsbaarheid niet verhelpt. Microsoft bracht in januari 2022 daarom een tweede patch uit, maar ook toen vond Naceri weer een manier om de fix te omzeilen.
Onofficiële patches
0patch, dat onofficiële patches uitbrengt (met name voor Windows-versies die niet langer worden ondersteund en kwetsbaarheden die door Microsoft niet worden opgelost), lanceerde in november al een update voor Windows die het probleem verhelpt. Deze onofficiële patch is nu geschikt gemaakt voor de updates die in maart op Patch Tuesday zijn vrijgegeven. De update is gratis beschikbaar voor geregistreerde gebruikers.
De oplossing van 0patch is geschikt voor:
Windows 10 v21H1 (32 & 64 bit) met maart 2022-updates
Windows 10 v20H2 (32 & 64 bit) met maart 2022-updates
Windows 10 v1909 (32 & 64 bit) met maart 2022-updates
