又一个 Windows 0day 漏洞在推特遭曝光

编译：360代码卫士团队

网络昵称为 SandboxEscaper 的一名安全研究员再次在推特上发布了一个 Windows 0day 漏洞并把 PoC 发布在 GitHub 上。这是他在两个月的时间内第二次这么做了。

新披露的这个 0day 漏洞影响微软数据分享本地服务 (dssvc.dll)。该服务为应用之间提供数据经纪服务。

多名研究人员分析了这个 0day 漏洞后指出，攻击者可借此提升已获得的系统上的权限。PoC 的目的是删除文件，而在通常情况下这种操作只有在拥有管理员权限的情况下才能实施。安全专家认为做一些修改后还可以执行其它操作。

多名证实该 PoC 的安全专家表示，这个 0day 漏洞仅影响最新的 Windows OS 版本，如 Windows 10（所有版本，包括最新的2018年10月更新版）、Server 2016、甚至是新发布的 Server 2019。CERT/CC 的员工 Will Dormann 表示，这是因为“数据共享服务并未出现在 Windows 8.1 及更早的系统中。”

信息安全专家 Kvin Beaumont 指出，刚发布的这个 0day 漏洞和 SandboxEscaper 在8月末发布的第一个 0day 漏洞非常相似。他表示，“它可导致非管理员通过滥用不再次检查权限的新型服务删除任意文件。”

ACROS 安全公司的联合创始人兼首席执行官 Mitja Kolsek 建议用户不要运行 SandboxEscaper 发布的最新 PoC。虽然第一个 0day 漏洞的 PoC 将垃圾数据写入一台 Windows 个人电脑中，但第二个 0day 漏洞的 PoC 将删除重要的 Windows 文件，导致操作系统崩溃，并强迫用户进入系统恢复进程。

恶意软件作者在恶意软件传播活动中快速整合 SnadboxEscaper 发布的第一个 0day 漏洞即 ALPC 服务中的本地权限提升漏洞。微软最终在2018年9月补丁星期二更新中修复了该漏洞。

SandboxEscaper表示，第二个 0day 漏洞像第一个一样对攻击者能起到很大作用。他认为恶意软件作者能够使用第二个漏洞删除操作系统文件或者 DLL，然后用恶意版本取代。

和对第一个 0day 漏洞的处理方式一样，Kolsek 公司发布了产品更新 (0Patch)，在微软发布官方修复方案以前拦截任何利用尝试。Kolsek 及其团队目前正在将“微补丁”推送给所有受影响的 Windows 版本。

微软目前尚未就此事置评，这倒也符合微软此前不公布此类详情的做法。

原文链接

https://www.zdnet.com/article/microsoft-windows-zero-day-disclosed-on-twitter-again/#ftag=RSSbaffb68

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。