Ang mga pagsasamantala ay natuklasan kamakailan sa mga pinakabagong bersyon ng Windows 10/11 at Linux ng dalawang magkahiwalay na grupo ng mga independiyenteng mananaliksik sa cybersecurity.
Ang parehong mga kahinaan ay maaaring samantalahin ng mga hacker upang mabigyan ng ganap na access ang mga hindi admin na user sa kani-kanilang operating system.
Ang pagsasamantala sa Windows ay natuklasan ng security researcher na si Jonas Lykkegaard, na nagbahagi ng kanyang mga natuklasan sa Twitter. Natuklasan ni Lykkegaard na ang mga file sa pagpapatala ng Windows 10 at 11 na nauugnay sa Security Account Manager (SAM) ay naa-access sa pangkat na "User", na may kaunting mga pribilehiyo sa pag-access sa isang computer.
Ang SAM ay isang database na nag-iimbak ng mga user account at account descriptor. Sa bug na ito, ang mga malisyosong aktor ay maaaring, ayon sa Microsoft, "…Mag-install ng mga program; tingnan, baguhin, o tanggalin ang data; o lumikha ng mga bagong account na may ganap na karapatan ng user."
Ang kahinaan sa Linux ay natuklasan ng mga mananaliksik sa cybersecurity firm na Qualys kasama ng team na binansagan ang bug, "Sequoia." Ayon sa isang post sa blog ng Qualys, na-verify ng mga mananaliksik na ang Sequoia ay matatagpuan sa "mga default na pag-install ng Ubuntu 20.04, [20.10], [21.04], Debian 11, at Fedora 34 Workstation."
Bagama't hindi pa nila ito nakumpirma, iminumungkahi ng mga mananaliksik na maaaring magkaroon ng kahinaan ang ibang mga Linux system.
Sa isang security advisory, kinumpirma ng Microsoft na ang pagsasamantala ay nakakaapekto sa Windows 10 na bersyon 1809 at mas bagong mga system. Ang bersyon 1809 ay inilabas noong Oktubre 2018, kaya ang mga bersyon ng OS na inilabas mula noon ay mayroong bug. Ang kumpanya ay hindi pa naglalabas ng patch upang ayusin ang pagsasamantala, ngunit hanggang noon, ang Microsoft ay naghatid ng isang pansamantalang solusyon sa solusyon na makikita sa nabanggit na payo.
Tulad ng para sa Linux, naglabas si Qualys ng isang patunay ng concept video na nagdedetalye kung paano magagawa ang pagsasamantala at inirerekomenda na agad na i-patch ng mga user ang kahinaang ito. Kasalukuyang nagsusumikap ang kumpanya sa pagpapalabas ng mga patch habang magagamit ang mga ito kaya kailangang maghintay ang mga gumagamit ng Linux. Mahahanap ng mga user ang mga patch na ito sa Qualys blog.
