Twitter再現Windows 0 day漏洞
第二個Windows 0 day漏洞影響的是Microsoft Data Sharing (dssvc.dll),這是一個提供應用間資料程式碼的本地服務。
分析了該PoC的研究人員稱攻擊者可以用它來進行系統許可權提升。PoC可以用來刪除本來需要管理許可權才可以刪除的檔案。專家稱,對PoC進行修改後還可以進行其他惡意操作。
0 day漏洞隻影響最新的Windows 作業系統,如Windows 10、Windows Server 2016、以及最新的Windows Server 2019。CERT/CC的Will Dormann稱不影響Windows 8.1及之前系統的原因在於Data Sharing Service (dssvc.dll) 是Windows 10才引入的。
漏洞允許非管理員許可權的使用者濫用Windows 服務不檢查許可權的特性來刪除任意檔案。研究人員建議使用者不要執行SandboxEscaper的PoC,因此第二個漏洞的POC會刪除Windows關鍵檔案,破壞系統,迫使使用者還原系統。
安全專家相信惡意軟體作者可以使用該0 day漏洞來刪除作業系統檔案或DLL,並用對應的惡意版本檔案進行替換。
Kolsek公司釋出了自家產品(0Patch)的安全更新,可以在微軟釋出官方更新前攔截漏洞利用的嘗試。
Bug描述
RpcDSSMoveFromSharedFile(handle,L"token",L"c:\\blah1\\pci.sys");
該函式是基於alpc的,存在任意檔案刪除漏洞。
POC在刪除c:\windows\system32\drivers\pci.sys is檔案前可以一直執行。
攻擊者可以嘗試在第三方軟體觸發dll劫持或刪除系統服務使用的c:\windows\temp中的臨時檔案,並劫持這些檔案進行惡意動作。