Badacz bezpieczeństwa opublikował kod typu proof-of-concept dla exploita zero-day w systemie Windows 10. Błąd został ujawniony przez SandboxEscaper, badacza, który ujawnił luki w systemie Windows w przeszłości.
Najnowszy błąd umożliwia nadpisywanie plików dowolnymi danymi i chociaż istnieje wiele kryteriów, które muszą zostać spełnione, aby luka została wykorzystana, nadal jest ona potencjalnie poważna. SandboxEscaper ostrzegł Microsoft o problemie w Boże Narodzenie, przed opublikowaniem PoC kilka dni później.
Zobacz też:
Proof-of-concept wykazał, że możliwe jest nadpisanie pliku pci.sys danymi zebranymi za pośrednictwem Raportowania błędów systemu Windows. Fakt, że możliwy jest atak na plik systemowy, taki jak ten, pokazuje, że osoba atakująca może utworzyć atak typu „odmowa usługi” na komputerze docelowym z konta użytkownika bez uprawnień administratora.
SandboxEscaper wyjaśnia, że technika ta mogłaby zostać użyta do wyłączenia oprogramowania antywirusowego innych firm, co pozwoliłoby na wykonanie kolejnych exploitów. Zauważa, że nie była w stanie wykorzystać luki na maszynach z jednym rdzeniem procesora.
Will Dormann, analityk luk w CERT / CC, podzielił się na Twitterze swoimi przemyśleniami na temat odkrycia:
Ten najnowszy 0day z SandboxEscaper wymaga dużo cierpliwości, aby się odtworzyć. Poza tym tylko * czasami * zastępuje plik docelowy danymi, na które ma wpływ osoba atakująca. Zwykle są to niepowiązane dane WER. Https://t.co/FnqMRpLy77 pic.twitter.com/jAk5hbr46a
– Will Dormann (@wdormann) 29 grudnia 2018
W odpowiedzi Mitja Kolsek z 0patch odrzucił próby bagatelizowania wagi problemu:
Jeszcze tego nie wypróbowałem, ale jeśli jest to lokalna eskalacja uprawnień i możesz sprawdzić, czy exploit się powiódł, przypuszczam, że nie ma znaczenia, czy działa tylko raz na sto prób.
– Mitja Kolsek (@mkolsek) 30 grudnia 2018
Konto SandboxEscaper na Twitterze jest obecnie zawieszone, ale możesz dowiedzieć się więcej o exploicie na GitHub.
Kredyt obrazu: Profit_Image / Shutterstock
