Опубликован PoC-эксплойт к новой уязвимости нулевого дня в Windows. Он работает на полностью пропатченных ПК Windows 10 и позволяет удалить любой файл, в том числе с системными данными.
Новая проблема, которой пока не присвоен CVE-идентификатор, представляет собой баг повышения привилегий, который кроется в
Data Sharing Service (dssvc.dll). Эта служба, работающая под аккаунтом LocalSystem с широкими привилегиями, обеспечивает совместный доступ приложений к данным.
Со слов исследователя SandboxEscaper, опубликовавшего PoC-код, найденная им уязвимость 0-day открывает возможность для удаления библиотек приложений (файлов DLL). В этом случае затронутая программа начинает искать библиотеку в других местах, в том числе там, где пользователю разрешен доступ на запись. Это хороший шанс для автора атаки: он сможет загрузить вредоносную библиотеку и скомпрометировать систему.
«Эксплойт облегчит дальнейшее продвижение по сети и даже выполнение деструктивных действий, — таких как удаление ключевых системных файлов, после чего система перестанет функционировать», — пояснил в письменном виде Том Парсонс (Tom Parsons), руководитель исследований в Tenable.
В результате PoC-атаки, предложенной SandboxEscaper, программа, которую он назвал
Deletebug.exe, удаляет системный файл pci.sys, после чего пользователь больше не сможет запустить Windows.
Наличие уязвимости подтвердили эксперт CERT/CC Уилл Дорман (Will Dormann) и исполнительный директор Acros Security
Митя Колсек (Mitja Kolsek). Обоим удалось успешно применить эксплойт на полностью пропатченной и обновленной Windows 10. Согласно
твиту Дормана, на Windows 8.1 и ниже служба Data Sharing отсутствует.
Исследователь Кевин Бомон (Kevin Beaumont)
удостоверился, что эксплойт работает на Windows 10, а также Windows Server 2016 и 2019. По его словам, уязвимость «позволяет, не имея прав администратора, удалить любой файл посредством использования новой службы Windows, не проверяющей разрешения».
Стоит отметить, что публикация SandboxEscaper вряд ли вызовет всплеск эксплойт-активности: атор находки предупредил, что баг «низкокачественный», а его использование — «тот еще гемор».
https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper)
October 23, 2018
В своем письме Парсонс из Tenable уточнил: «Чтобы воспользоваться уязвимостью, нужно иметь доступ к системе или скомбинировать ее с удаленным эксплойтом». Сложность осуществления эксплойта на практике отметил и Бомон:
It’s a cool find again. I think it would be fairly difficult to exploit in a meaningful way, you could possibly do it against some OEM drivers (eg graphics card update process) but I can’t imagine practical.
— Kevin Beaumont (@GossiTheDog)
October 23, 2018
Корпорация Microsoft находку пока не прокомментировала, а команда 0patch из Acros выпустила микропатч, который, по ее словам, успешно блокирует эксплойт.
7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation.
pic.twitter.com/qoQgMqtTas
— 0patch (@0patch)
October 23, 2018
Псевдоним SandboxEscaper уже известен читателям:
в августе баг-хантер опубликовал через Twitter другую уязвимость нулевого дня в Windows. Она крылась в Планировщике заданий и была устранена в рамках
сентябрьского «вторника патчей».
Линейный вид
