Noll
En säkerhetsforskare har avslöjat en Windows-noll-dag sårbarhet på Twitter för andra gången inom loppet av två månader. Forskaren, som går ut på nätet av pseudonymen SandboxEscaper, också publiceras proof-of-concept (PoC) på GitHub.
Denna andra Windows-zero-day påverkar Microsoft Data Sharing (dssvc.dll), en lokal tjänst som ger data förmedling mellan program.
Enligt flera säkerhetsexperter som analyseras zero-day är PoC, att en angripare kan använda den för att höja sina privilegier om de system som de redan har tillgång till.
PoC, i synnerhet, var kodade för att ta bort filer som en användare normalt behöver administratörsbehörighet för att göra så. Med lämpliga ändringar, andra åtgärder som kan vidtas, experter tror.
Zero-day påverkar endast de senaste versionerna av Windows OPERATIVSYSTEM, till exempel Windows 10 (alla versioner, inklusive den senaste oktober 2018 Uppdatering), Server 2016, och även den nya Servern 2019, enligt flera säkerhetsexperter som bekräftade PoC.
Enligt Will Dormann av CERT/CC, detta beror på att “Dela Data Service (dssvc.dll), verkar inte finnas på Windows 8.1 och tidigare system.”
Dagens zero-day är också nästan identisk med SandboxEscaper första noll-dag som han också publicerade på Twitter i slutet av augusti, enligt infosec sleuth Kevin Beaumont.
“Det gör att icke-administratörer att ta bort någon fil genom att missbruka en ny Windows-tjänsten inte kontrollera behörigheter igen,” Beaumont sade i en tweet.
Mitja Kolsek, grundare och VD av ACROS Säkerhet, rekommenderas användare mot att köra SandboxEscaper senaste PoC. Medan PoC för första noll-dag skrev sopor data till en Windows-DATOR, PoC för andra zero-day kommer att ta bort viktiga filer i Windows kraschar operativsystemet, och tvingar användarna genom en systemåterställningen.
Malware författare var snabba med att integrera SandboxEscaper första noll-dag –en lokal utökning av privilegier i Advanced Local Procedure Call (ALPC)– inne malware distribution kampanjer.
Microsoft så småningom lappat frågan en vecka efter det att felet användes i naturen, under September 2018 Patch tisdag uppdateringar.
SandboxEscaper hävdar att denna andra zero-day kan vara lika användbar för angripare som den första. Experten tror skadliga program kan använda zero-day för att ta bort OS-filer och Dll-filer och ersätta dem med skadlig versioner.
Precis som det gjorde för första noll-dag, Kolsek är företaget släppt en uppdatering för sin produkt (kallas 0Patch) som skulle blockera all exploatering försök tills Microsoft släpper en officiell fixa. Kolsek och hans team arbetar på att anpassa sina “micro-patch” för att alla drabbade Windows-versioner.
ZDNet har nått ut för en kommentar till Microsoft, även om vi inte förväntar sig bolaget att ge någon information om dess säkerhet lapp schema. OS tekokare har aldrig uppenbarat denna typ av information innan.
RELATERADE ZERO-DAY TÄCKNING:
Magecart koncernen utnyttjar noll dagar i 20 Magento tilläggZero-day i populära jQuery plugin aktivt utnyttjas för minst tre årForskare finner enkelt sätt att backdooring Windows-DatorerNya Flash-0-day exploit förbi webbläsare, smittar via Kontor i stället TechRepublicMicrosoft oktober 2018 Patch tisdag fixar 0-dag utnyttjas av FruityArmor APTApple MacOS Mojave zero-day integritet bypass sårbarhet visade
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0