微软Windows 0day在Twitter上再次披露
分类:科技云 热度:

商圣科技12月08日消息: 据了解,该0day影响仅限Windows 10,Server 2016和Server 2019。
一位安全研究人员在两个月内第二次在Twitter上披露了Windows零日漏洞。该研究人员以SandboxEscaper的笔名上网,并在GitHub上发布了概念验证(PoC)。

第二个Windows漏洞影响Microsoft数据共享(dssvc.dll),这是一种在应用程序之间提供数据代理的本地服务。
 
根据分析零日PoC的几位安全专家的说法,攻击者可以使用它来提升他们已经访问过的系统的权限。
 
特别是,PoC被编码为删除用户通常需要管理员权限的文件。专家们认为,通过适当的修改,可以采取其他行动。
 
根据几位确认PoC的安全专家的说法, 零日仅影响Windows操作系统的最新版本,例如Windows 10(所有版本,包括最新的2018年10月更新),Server 2016,甚至新的Server 2019。
 
根据CERT / CC的Will Dormann的说法,这是因为“数据共享服务(dssvc.dll)似乎不存在于Windows 8.1和早期系统中。”
 
根据信息安全的侦探Kevin Beaumont的说法, 今天的零日也几乎与他在8月底在Twitter 上发布的SandboxEscaper的第一个零日相同。
 
“它允许非管理员通过滥用新的Windows服务而不再检查权限来删除任何文件,”Beaumont在一条推文中说。
 
ACROS Security的联合创始人兼首席执行官Mitja Kolsek建议用户不要运行SandboxEscaper最近的PoC。虽然第一个零日的PoC将垃圾数据写入Windows PC,但第二个零日的PoC将删除关键的Windows文件,导致操作系统崩溃,并迫使用户完成系统还原过程。
 
恶意软件作者迅速整合了SandboxEscaper的第一个零日 - 高级本地程序调用(ALPC)服务中的本地特权升级 - 内部恶意软件分发活动。
 
在2018年9月补丁星期二更新期间,微软最终修补了这个问题一周后,这个漏洞在野外使用。
 
SandboxEscaper认为,第二个零日对攻击者来说和第一个零日一样有用。该专家认为,恶意软件作者可以使用零日删除操作系统文件或DLL,并将其替换为恶意版本。
 
就像它在第一个零日一样,Kolsek的公司发布了他们的产品(称为0Patch)的更新,这将阻止任何利用尝试,直到微软发布官方修复。Kolsek和他的团队目前正在努力将他们的“微补丁”移植到所有受影响的Windows版本。
 
商圣科技已经联系微软发表评论,尽管我们不希望该公司提供有关其安全补丁计划的任何信息。操作系统制造商以前从未透露过这些细节。


转载请注明: http://www.ygpy.net/kjy/2018/1024/19879.html
上一篇:UEditor .net版本 getshell (重大漏洞等级)
猜你喜欢
热门排行
精彩图文