Windows任務計劃零日漏洞及PoC
作者:星期一, 九月 3, 20180

Windows零日漏洞就在那里,CERT確知尚無實際解決方案,微軟周二補丁雷打不動。

上周,推特用戶“SandboxEscaper(沙箱逃逸者)”因厭煩IT安全工作,憤而披露本地提權漏洞及其概念驗證代碼(PoC),并稱:

微軟是個蠢貨,我等不及賣出他們軟件里的漏洞了。

該漏洞是微軟Windows任務計劃所用“高級本地程序調用(ALPC)”接口中的本地提權漏洞。在推特上披露該漏洞并鏈向GitHub上的PoC之后,SandboxEscaper宣稱自己將消失一段時間。

分析師證實Windows零日漏洞利用

美國計算機應急響應小組(CERT/CC)漏洞分析師 Will Dormann 測試了該漏洞利用程序,并確認對打全補丁的64位 Windows 10 系統有效。

Dormann隨即在CERT發布了漏洞說明:“微軟Windows任務計劃在高級本地程序調用(ALPC)接口中含有一個本地提權漏洞,可致本地用戶獲取系統(SYSTEM)權限。”

微軟Windows任務計劃在ALPC的處理上存在漏洞,能令本地用戶獲得系統(SYSTEM)權限。我們已經證實該公開漏洞利用代碼對64位 Windows 10 和 Windows Server 2016 系統有效。該公開可用的漏洞利用程序源代碼經修改后也可能適用于其他Windows版本。

從該漏洞說明來看,CERT目前并未發現實際解決方案。

安全研究員 Kevin Beaumont 在DoublePulsar上解釋了該漏洞利用程序的局限性,并描述了利用該漏洞的其他方法。他還在GitHub上貼出了漏洞代碼以方便分析。

如何在自身系統上檢測該漏洞利用

如果使用微軟Sysmon工具,查找spoolsv.exe產出異常進程的情況,這是該漏洞利用(或另一個Spooler漏洞利用)正在執行的確切跡象。同樣是用Sysmon,查找connhost.exe(任務計劃)產生異常進程(例如后臺打印程序)的情況。

切實修復應出自微軟。微軟發言人已表示“將盡快主動更新受影響系統。”PoC代碼就在網上掛著,而下一次周二補丁日還有兩周才到來,攻擊者有相當長的窗口期可以對目標的Windows主機下手。

隨著這一最新Windows操作系統漏洞的披露,IT人員需特別注意其網絡用戶的行為。SandboxEscaper“研究員”在推特上發布的PoC,給了惡意攻擊者入侵公司企業盜取有價值信息的有利條件。

應持續應用網絡流量分析來檢測進出網絡的異常流量,并標記用戶異于往常的行為表現。此類異常行為就是有人正利用該漏洞提升自身權限的顯著指標。我們不得不等待微軟的響應,但如果直到既定的9月11號周二補丁日之前都沒有任何緩解措施發布,黑客將有2周之久的窗口期可供利用該漏洞。

漏洞的利用方法原文鏈接:

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f

相關閱讀

零日漏洞:強大卻脆弱的武器

操作系統安全哪家強?Linux超越Windows和macOS

 

分享:

相關文章

寫一條評論

 

 

0條評論