Twitter再現Windows 0 day漏洞

事件概述

2018年8月，安全研究人員SandboxEscaper在Twitter上公布了Windows 0 day漏洞。

時隔2個月，他再次在Twitter上公布了另一個Windows 0 day漏洞，同時在GitHub上公布了PoC。

GitHub地址：https://github.com/SandboxEscaper/randomrepo/blob/master/DeleteBug1.rar

第二個Windows 0 day漏洞影響的是Microsoft Data Sharing (dssvc.dll)，這是一個提供應用間數據代碼的本地服務。

分析了該PoC的研究人員稱攻擊者可以用它來進行系統許可權提升。PoC可以用來刪除本來需要管理許可權才可以刪除的文件。專家稱，對PoC進行修改後還可以進行其他惡意操作。

0 day漏洞隻影響最新的Windows 操作系統，如Windows 10、Windows Server 2016、以及最新的Windows Server 2019。CERT/CC的Will Dormann稱不影響Windows 8.1及之前系統的原因在於Data Sharing Service (dssvc.dll) 是Windows 10才引入的。

漏洞允許非管理員許可權的用戶濫用Windows 服務不檢查許可權的特性來刪除任意文件。研究人員建議用戶不要運行SandboxEscaper的PoC，因此第二個漏洞的POC會刪除Windows關鍵文件，破壞系統，迫使用戶還原系統。

安全專家相信惡意軟體作者可以使用該0 day漏洞來刪除操作系統文件或DLL，並用對應的惡意版本文件進行替換。

Kolsek公司發布了自家產品（0Patch）的安全更新，可以在微軟發布官方更新前攔截漏洞利用的嘗試。

Bug描述

RpcDSSMoveFromSharedFile(handle,L"token",L"c:\blah1\pci.sys");

該函數是基於alpc的，存在任意文件刪除漏洞。

POC在刪除c:windowssystem32driverspci.sys is文件前可以一直運行。

攻擊者可以嘗試在第三方軟體觸發dll劫持或刪除系統服務使用的c:windows emp中的臨時文件，並劫持這些文件進行惡意動作。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！