Windows任务计划零日漏洞及PoC

Windows零日漏洞就在那里,CERT确知尚无实际解决方案,微软周二补丁雷打不动。

上周,推特用户“SandboxEscaper(沙箱逃逸者)”因厌烦IT安全工作,愤而披露本地提权漏洞及其概念验证代码(PoC),并称:

微软是个蠢货,我等不及卖出他们软件里的漏洞了。

该漏洞是微软Windows任务计划所用“高级本地程序调用(ALPC)”接口中的本地提权漏洞。在推特上披露该漏洞并链向GitHub上的PoC之后,SandboxEscaper宣称自己将消失一段时间。

分析师证实Windows零日漏洞利用

美国计算机应急响应小组(CERT/CC)漏洞分析师 Will Dormann 测试了该漏洞利用程序,并确认对打全补丁的64位 Windows 10 系统有效。

Dormann随即在CERT发布了漏洞说明:“微软Windows任务计划在高级本地程序调用(ALPC)接口中含有一个本地提权漏洞,可致本地用户获取系统(SYSTEM)权限。”

微软Windows任务计划在ALPC的处理上存在漏洞,能令本地用户获得系统(SYSTEM)权限。我们已经证实该公开漏洞利用代码对64位 Windows 10 和 Windows Server 2016 系统有效。该公开可用的漏洞利用程序源代码经修改后也可能适用于其他Windows版本。

从该漏洞说明来看,CERT目前并未发现实际解决方案。

安全研究员 Kevin Beaumont 在DoublePulsar上解释了该漏洞利用程序的局限性,并描述了利用该漏洞的其他方法。他还在GitHub上贴出了漏洞代码以方便分析。

如何在自身系统上检测该漏洞利用

如果使用微软Sysmon工具,查找spoolsv.exe产出异常进程的情况,这是该漏洞利用(或另一个Spooler漏洞利用)正在执行的确切迹象。同样是用Sysmon,查找connhost.exe(任务计划)产生异常进程(例如后台打印程序)的情况。

切实修复应出自微软。微软发言人已表示“将尽快主动更新受影响系统。”PoC代码就在网上挂着,而下一次周二补丁日还有两周才到来,攻击者有相当长的窗口期可以对目标的Windows主机下手。

随着这一最新Windows操作系统漏洞的披露,IT人员需特别注意其网络用户的行为。SandboxEscaper“研究员”在推特上发布的PoC,给了恶意攻击者入侵公司企业盗取有价值信息的有利条件。

应持续应用网络流量分析来检测进出网络的异常流量,并标记用户异于往常的行为表现。此类异常行为就是有人正利用该漏洞提升自身权限的显著指标。我们不得不等待微软的响应,但如果直到既定的9月11号周二补丁日之前都没有任何缓解措施发布,黑客将有2周之久的窗口期可供利用该漏洞。


漏洞的利用方法原文链接:

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f


凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启