Брешь Deletebug позволяет вывести из строя Windows

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 26 Oct 2018.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,600
    Likes Received:
    3,583
    Reputations:
    693
    [​IMG]

    Опубликован PoC-эксплойт к новой уязвимости нулевого дня в Windows. Он работает на полностью пропатченных ПК Windows 10 и позволяет удалить любой файл, в том числе с системными данными.

    Новая проблема, которой пока не присвоен CVE-идентификатор, представляет собой баг повышения привилегий, который кроется в Data Sharing Service (dssvc.dll). Эта служба, работающая под аккаунтом LocalSystem с широкими привилегиями, обеспечивает совместный доступ приложений к данным.

    Со слов исследователя SandboxEscaper, опубликовавшего PoC-код, найденная им уязвимость 0-day открывает возможность для удаления библиотек приложений (файлов DLL). В этом случае затронутая программа начинает искать библиотеку в других местах, в том числе там, где пользователю разрешен доступ на запись. Это хороший шанс для автора атаки: он сможет загрузить вредоносную библиотеку и скомпрометировать систему.

    «Эксплойт облегчит дальнейшее продвижение по сети и даже выполнение деструктивных действий, — таких как удаление ключевых системных файлов, после чего система перестанет функционировать», — пояснил в письменном виде Том Парсонс (Tom Parsons), руководитель исследований в Tenable.

    В результате PoC-атаки, предложенной SandboxEscaper, программа, которую он назвал Deletebug.exe, удаляет системный файл pci.sys, после чего пользователь больше не сможет запустить Windows.

    Наличие уязвимости подтвердили эксперт CERT/CC Уилл Дорман (Will Dormann) и исполнительный директор Acros Security Митя Колсек (Mitja Kolsek). Обоим удалось успешно применить эксплойт на полностью пропатченной и обновленной Windows 10. Согласно твиту Дормана, на Windows 8.1 и ниже служба Data Sharing отсутствует.

    Исследователь Кевин Бомон (Kevin Beaumont) удостоверился, что эксплойт работает на Windows 10, а также Windows Server 2016 и 2019. По его словам, уязвимость «позволяет, не имея прав администратора, удалить любой файл посредством использования новой службы Windows, не проверяющей разрешения».

    Стоит отметить, что публикация SandboxEscaper вряд ли вызовет всплеск эксплойт-активности: атор находки предупредил, что баг «низкокачественный», а его использование — «тот еще гемор».

    https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.

    — SandboxEscaper (@SandboxEscaper) October 23, 2018

    В своем письме Парсонс из Tenable уточнил: «Чтобы воспользоваться уязвимостью, нужно иметь доступ к системе или скомбинировать ее с удаленным эксплойтом». Сложность осуществления эксплойта на практике отметил и Бомон:

    It’s a cool find again. I think it would be fairly difficult to exploit in a meaningful way, you could possibly do it against some OEM drivers (eg graphics card update process) but I can’t imagine practical.

    — Kevin Beaumont (@GossiTheDog) October 23, 2018

    Корпорация Microsoft находку пока не прокомментировала, а команда 0patch из Acros выпустила микропатч, который, по ее словам, успешно блокирует эксплойт.

    7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas

    — 0patch (@0patch) October 23, 2018

    Псевдоним SandboxEscaper уже известен читателям: в августе баг-хантер опубликовал через Twitter другую уязвимость нулевого дня в Windows. Она крылась в Планировщике заданий и была устранена в рамках сентябрьского «вторника патчей».

     
    K800 likes this.
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,334
    Likes Received:
    9,848
    Reputations:
    338
    Удалять неудаляемое - это не баг, а фича ))) Нужный сплойт!!!
     
    _________________________
    Suicide likes this.
Loading...