Windows任务计划零日漏洞及PoC
Windows零日漏洞就在那里,CERT确知尚无实际解决方案,微软周二补丁雷打不动。
上周,推特用户“SandboxEscaper(沙箱逃逸者)”因厌烦IT安全工作,愤而披露本地提权漏洞及其概念验证代码(PoC),并称:
微软是个蠢货,我等不及卖出他们软件里的漏洞了。
该漏洞是微软Windows任务计划所用“高级本地程序调用(ALPC)”接口中的本地提权漏洞。在推特上披露该漏洞并链向GitHub上的PoC之后,SandboxEscaper宣称自己将消失一段时间。
分析师证实Windows零日漏洞利用
美国计算机应急响应小组(CERT/CC)漏洞分析师 Will Dormann 测试了该漏洞利用程序,并确认对打全补丁的64位 Windows 10 系统有效。
Dormann随即在CERT发布了漏洞说明:“微软Windows任务计划在高级本地程序调用(ALPC)接口中含有一个本地提权漏洞,可致本地用户获取系统(SYSTEM)权限。”
微软Windows任务计划在ALPC的处理上存在漏洞,能令本地用户获得系统(SYSTEM)权限。我们已经证实该公开漏洞利用代码对64位 Windows 10 和 Windows Server 2016 系统有效。该公开可用的漏洞利用程序源代码经修改后也可能适用于其他Windows版本。
从该漏洞说明来看,CERT目前并未发现实际解决方案。
安全研究员 Kevin Beaumont 在DoublePulsar上解释了该漏洞利用程序的局限性,并描述了利用该漏洞的其他方法。他还在GitHub上贴出了漏洞代码以方便分析。
如何在自身系统上检测该漏洞利用
如果使用微软Sysmon工具,查找spoolsv.exe产出异常进程的情况,这是该漏洞利用(或另一个Spooler漏洞利用)正在执行的确切迹象。同样是用Sysmon,查找connhost.exe(任务计划)产生异常进程(例如后台打印程序)的情况。
切实修复应出自微软。微软发言人已表示“将尽快主动更新受影响系统。”PoC代码就在网上挂着,而下一次周二补丁日还有两周才到来,攻击者有相当长的窗口期可以对目标的Windows主机下手。
随着这一最新Windows操作系统漏洞的披露,IT人员需特别注意其网络用户的行为。SandboxEscaper“研究员”在推特上发布的PoC,给了恶意攻击者入侵公司企业盗取有价值信息的有利条件。
应持续应用网络流量分析来检测进出网络的异常流量,并标记用户异于往常的行为表现。此类异常行为就是有人正利用该漏洞提升自身权限的显著指标。我们不得不等待微软的响应,但如果直到既定的9月11号周二补丁日之前都没有任何缓解措施发布,黑客将有2周之久的窗口期可供利用该漏洞。
漏洞的利用方法原文链接:
https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f
相关文章
- 4条评论
- 孤央箴词2022-06-04 15:26:49
- ows任务计划所用“高级本地程序调用(ALPC)”接口中的本地提权漏洞。在推特上披露该漏洞并链向GitHub上的PoC之后,SandboxEscaper宣称自己将消失一段时间。分析师证实Windows零日漏洞利用美国计算机应急响应小组(CERT/CC)漏洞分析师 Will Dorma
- 俗野叙詓2022-06-04 07:31:56
- 地用户获得系统(SYSTEM)权限。我们已经证实该公开漏洞利用代码对64位 Windows 10 和 Windows Server 2016 系统有效。该公开可用的漏洞利用程序源代码经修改后也可能适用于其他Windows版本。从该漏洞说明来看,CERT目前并未发现实际解决方案。安全研究员 Kev
- 酒奴债姬2022-06-04 08:28:21
- blepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f
- 离鸢一镜2022-06-04 16:38:52
- 直到既定的9月11号周二补丁日之前都没有任何缓解措施发布,黑客将有2周之久的窗口期可供利用该漏洞。漏洞的利用方法原文链接:https://doublepulsar.com/task-scheduler-alpc-exploit-high-l