Suicide
26.10.2018, 19:19
https://media.kasperskycontenthub.com/wp-content/uploads/sites/32/2017/01/07163729/bugs.jpg
Опубликован PoC-эксплойт к новой уязвимости нулевого дня в Windows. Он работает на полностью пропатченных ПК Windows 10 и позволяет удалить любой файл, в том числе с системными данными.
Новая проблема, которой пока не присвоен CVE-идентификатор, представляет собой баг повышения привилегий, который кроется в Data Sharing Service (https://social.technet.microsoft.com/Forums/en-US/0cee780c-c55d-4a3a-bfe2-223a78206b1a/data-sharing-service?forum=win10itprosecurity) (dssvc.dll). Эта служба, работающая под аккаунтом LocalSystem с широкими привилегиями, обеспечивает совместный доступ приложений к данным.
Со слов исследователя SandboxEscaper, опубликовавшего PoC-код, найденная им уязвимость 0-day открывает возможность для удаления библиотек приложений (файлов DLL). В этом случае затронутая программа начинает искать библиотеку в других местах, в том числе там, где пользователю разрешен доступ на запись. Это хороший шанс для автора атаки: он сможет загрузить вредоносную библиотеку и скомпрометировать систему.
«Эксплойт облегчит дальнейшее продвижение по сети и даже выполнение деструктивных действий, — таких как удаление ключевых системных файлов, после чего система перестанет функционировать», — пояснил в письменном виде Том Парсонс (Tom Parsons), руководитель исследований в Tenable.
В результате PoC-атаки, предложенной SandboxEscaper, программа, которую он назвал Deletebug.exe (https://github.com/SandboxEscaper/randomrepo/blob/master/DeleteBug1.rar), удаляет системный файл pci.sys, после чего пользователь больше не сможет запустить Windows.
Наличие уязвимости подтвердили эксперт CERT/CC Уилл Дорман (Will Dormann) и исполнительный директор Acros Security Митя Колсек (https://twitter.com/mkolsek/status/1054780894785998848) (Mitja Kolsek). Обоим удалось успешно применить эксплойт на полностью пропатченной и обновленной Windows 10. Согласно твиту Дормана (https://twitter.com/wdormann/status/1054801400910307328), на Windows 8.1 и ниже служба Data Sharing отсутствует.
Исследователь Кевин Бомон (Kevin Beaumont) удостоверился (https://twitter.com/GossiTheDog/status/1054847922452480002), что эксплойт работает на Windows 10, а также Windows Server 2016 и 2019. По его словам, уязвимость «позволяет, не имея прав администратора, удалить любой файл посредством использования новой службы Windows, не проверяющей разрешения».
Стоит отметить, что публикация SandboxEscaper вряд ли вызовет всплеск эксплойт-активности: атор находки предупредил, что баг «низкокачественный», а его использование — «тот еще гемор».
https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper) October 23, 2018 (https://twitter.com/SandboxEscaper/status/1054744201244692485?ref_src=twsrc%5Etfw)
В своем письме Парсонс из Tenable уточнил: «Чтобы воспользоваться уязвимостью, нужно иметь доступ к системе или скомбинировать ее с удаленным эксплойтом». Сложность осуществления эксплойта на практике отметил и Бомон:
It’s a cool find again. I think it would be fairly difficult to exploit in a meaningful way, you could possibly do it against some OEM drivers (eg graphics card update process) but I can’t imagine practical.
— Kevin Beaumont (@GossiTheDog) October 23, 2018 (https://twitter.com/GossiTheDog/status/1054850053746159616?ref_src=twsrc%5Etfw)
Корпорация Microsoft находку пока не прокомментировала, а команда 0patch из Acros выпустила микропатч, который, по ее словам, успешно блокирует эксплойт.
7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas (https://t.co/qoQgMqtTas)
— 0patch (@0patch) October 23, 2018 (https://twitter.com/0patch/status/1054859940945387520?ref_src=twsrc%5Etfw)
Псевдоним SandboxEscaper уже известен читателям: в августе (https://threatpost.ru/windows-10-has-unpatched-0-day-vulnerability/27965/) баг-хантер опубликовал через Twitter другую уязвимость нулевого дня в Windows. Она крылась в Планировщике заданий и была устранена в рамках сентябрьского «вторника патчей» (https://threatpost.ru/microsoft-patches-three-actively-exploited-bugs-as-part-of-patch-tuesday/28199/).
25.10.2018
https://threatpost.ru/windows-deletebug-zero-day-allows-privilege-escalation-destruction/28888/
Опубликован PoC-эксплойт к новой уязвимости нулевого дня в Windows. Он работает на полностью пропатченных ПК Windows 10 и позволяет удалить любой файл, в том числе с системными данными.
Новая проблема, которой пока не присвоен CVE-идентификатор, представляет собой баг повышения привилегий, который кроется в Data Sharing Service (https://social.technet.microsoft.com/Forums/en-US/0cee780c-c55d-4a3a-bfe2-223a78206b1a/data-sharing-service?forum=win10itprosecurity) (dssvc.dll). Эта служба, работающая под аккаунтом LocalSystem с широкими привилегиями, обеспечивает совместный доступ приложений к данным.
Со слов исследователя SandboxEscaper, опубликовавшего PoC-код, найденная им уязвимость 0-day открывает возможность для удаления библиотек приложений (файлов DLL). В этом случае затронутая программа начинает искать библиотеку в других местах, в том числе там, где пользователю разрешен доступ на запись. Это хороший шанс для автора атаки: он сможет загрузить вредоносную библиотеку и скомпрометировать систему.
«Эксплойт облегчит дальнейшее продвижение по сети и даже выполнение деструктивных действий, — таких как удаление ключевых системных файлов, после чего система перестанет функционировать», — пояснил в письменном виде Том Парсонс (Tom Parsons), руководитель исследований в Tenable.
В результате PoC-атаки, предложенной SandboxEscaper, программа, которую он назвал Deletebug.exe (https://github.com/SandboxEscaper/randomrepo/blob/master/DeleteBug1.rar), удаляет системный файл pci.sys, после чего пользователь больше не сможет запустить Windows.
Наличие уязвимости подтвердили эксперт CERT/CC Уилл Дорман (Will Dormann) и исполнительный директор Acros Security Митя Колсек (https://twitter.com/mkolsek/status/1054780894785998848) (Mitja Kolsek). Обоим удалось успешно применить эксплойт на полностью пропатченной и обновленной Windows 10. Согласно твиту Дормана (https://twitter.com/wdormann/status/1054801400910307328), на Windows 8.1 и ниже служба Data Sharing отсутствует.
Исследователь Кевин Бомон (Kevin Beaumont) удостоверился (https://twitter.com/GossiTheDog/status/1054847922452480002), что эксплойт работает на Windows 10, а также Windows Server 2016 и 2019. По его словам, уязвимость «позволяет, не имея прав администратора, удалить любой файл посредством использования новой службы Windows, не проверяющей разрешения».
Стоит отметить, что публикация SandboxEscaper вряд ли вызовет всплеск эксплойт-активности: атор находки предупредил, что баг «низкокачественный», а его использование — «тот еще гемор».
https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper) October 23, 2018 (https://twitter.com/SandboxEscaper/status/1054744201244692485?ref_src=twsrc%5Etfw)
В своем письме Парсонс из Tenable уточнил: «Чтобы воспользоваться уязвимостью, нужно иметь доступ к системе или скомбинировать ее с удаленным эксплойтом». Сложность осуществления эксплойта на практике отметил и Бомон:
It’s a cool find again. I think it would be fairly difficult to exploit in a meaningful way, you could possibly do it against some OEM drivers (eg graphics card update process) but I can’t imagine practical.
— Kevin Beaumont (@GossiTheDog) October 23, 2018 (https://twitter.com/GossiTheDog/status/1054850053746159616?ref_src=twsrc%5Etfw)
Корпорация Microsoft находку пока не прокомментировала, а команда 0patch из Acros выпустила микропатч, который, по ее словам, успешно блокирует эксплойт.
7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas (https://t.co/qoQgMqtTas)
— 0patch (@0patch) October 23, 2018 (https://twitter.com/0patch/status/1054859940945387520?ref_src=twsrc%5Etfw)
Псевдоним SandboxEscaper уже известен читателям: в августе (https://threatpost.ru/windows-10-has-unpatched-0-day-vulnerability/27965/) баг-хантер опубликовал через Twitter другую уязвимость нулевого дня в Windows. Она крылась в Планировщике заданий и была устранена в рамках сентябрьского «вторника патчей» (https://threatpost.ru/microsoft-patches-three-actively-exploited-bugs-as-part-of-patch-tuesday/28199/).
25.10.2018
https://threatpost.ru/windows-deletebug-zero-day-allows-privilege-escalation-destruction/28888/