Windows 0 day任意數據覆寫文件漏洞

安全研究人員@ SandboxEscaper又公布一個Windows 0 day漏洞POC代碼。這是本月第二次公布Windows 0 day PoC，也是4個月來第4次公布Windows 0 day PoC。

攻擊者利用該漏洞可以用任意數據覆寫目標文件。

運行PoC代碼會導致含有軟體和硬體問題信息的pci.sys文件被覆寫，pci.sys文件中的軟硬體問題信息都是通過基於Windows Error Reporting (WER)事件反饋的基礎設施收集的。

@ SandboxEscaper稱漏洞利用代碼有一定的限制，可能不能在一些CPU上產生預期的效果。比如，在單核CPU的機器上測試就沒有復現該bug。而且該bug可能需要一定的時間才能產生效果，因為它依賴的競爭條件和其他操作可能會破壞結果或效果。

CERT/CC的研究人員Will Dormann確認並在Windows 10 Home, build 17134版本上復現了該漏洞，但同時聲明覆寫並不是持續發生的。

但Acros安全CEO Mitja Kolsek發twitter稱，雖然這是漏洞，但如果成功利用的概率比較低，那麼就不必太過於擔心該漏洞。

因為目標文件是pci.sys，因此@SandboxEscaper的PoC代碼會導致機器拒絕服務。因為pci.sys可以枚舉物理設備對象，所以是系統正確重啟所必需的系統組件。

@SandboxEscaper在描述該漏洞時說，攻擊者可以用該文件來關閉第三方反病毒軟體。

@SandboxEscaper 12月25日稱其會公布Windows新漏洞的PoC，但2天後改了主意，公布了漏洞的細節。Twitter文稱她事先已經通知了微軟安全響應中心（MSRC），但截止目前，MSRC還未確認該消息。

@SandboxEscaper公布POC代碼地址：

https://github.com/SandboxEscaper/randomrepo/blob/master/angrypolarbearbug.rar

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！