時間:2018-09-03 來源:互聯網 瀏覽量:
Windows零日漏洞就在那裏,CERT確知尚無實際解決方案,微軟周二補丁雷打不動。
上周,推特用戶“SandboxEscaper(沙箱逃逸者)”因厭煩IT安全工作,憤而披露本地提權漏洞及其概念驗證代碼(PoC),並稱:
“
微軟是個蠢貨,我等不及賣出他們軟件裏的漏洞了
該漏洞是微軟Windows任務計劃所用“高級本地程序調用(ALPC)”接口中的本地提權漏洞。在推特上披露該漏洞並鏈向GitHub上的PoC之後,SandboxEscaper宣稱自己將消失一段時間。
分析師證實Windows零日漏洞利用
美國計算機應急響應小組(CERT/CC)漏洞分析師 Will Dormann 測試了該漏洞利用程序,並確認對打全補丁的64位 Windows 10 係統有效。
Dormann隨即在CERT發布了漏洞說明:“微軟Windows任務計劃在高級本地程序調用(ALPC)接口中含有一個本地提權漏洞,可致本地用戶獲取係統(SYSTEM)權限。”
“
微軟Windows任務計劃在ALPC的處理上存在漏洞,能令本地用戶獲得係統(SYSTEM)權限。我們已經證實該公開漏洞利用代碼對64位 Windows 10 和 Windows Server 2016 係統有效。該公開可用的漏洞利用程序源代碼經修改後也可能適用於其他Windows版本。
從該漏洞說明來看,CERT目前並未發現實際解決方案。
安全研究員 Kevin Beaumont 在DoublePulsar上解釋了該漏洞利用程序的局限性,並描述了利用該漏洞的其他方法。他還在GitHub上貼出了漏洞代碼以方便分析。
如何在自身係統上檢測該漏洞利用
“
如果使用微軟Sysmon工具,查找spoolsv.exe產出異常進程的情況,這是該漏洞利用(或另一個Spooler漏洞利用)正在執行的確切跡象。同樣是用Sysmon,查找connhost.exe(任務計劃)產生異常進程(例如後台打印程序)的情況。
切實修複應出自微軟。微軟發言人已表示“將盡快主動更新受影響係統。”PoC代碼就在網上掛著,而下一次周二補丁日還有兩周才到來,攻擊者有相當長的窗口期可以對目標的Windows主機下手。
隨著這一最新Windows操作係統漏洞的披露,IT人員需特別注意其網絡用戶的行為。SandboxEscaper“研究員”在推特上發布的PoC,給了惡意攻擊者入侵公司企業盜取有價值信息的有利條件。
應持續應用網絡流量分析來檢測進出網絡的異常流量,並標記用戶異於往常的行為表現。此類異常行為就是有人正利用該漏洞提升自身權限的顯著指標。我們不得不等待微軟的響應,但如果直到既定的9月11號周二補丁日之前都沒有任何緩解措施發布,黑客將有2周之久的窗口期可供利用該漏洞。
漏洞的利用方法原文鏈接:
https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f)