Windows任务计划零日漏洞及PoC

发布时间:2018/9/12 20:25:16

Windows零日漏洞就在那里,CERT确知尚无实际解决方案,微软周二补丁雷打不动。

上周,推特用户“SandboxEscaper(沙箱逃逸者)”因厌烦IT安全工作,愤而披露本地提权漏洞及其概念验证代码(PoC),并称:

微软是个蠢货,我等不及卖出他们软件里的漏洞了。

该漏洞是微软Windows任务计划所用“高级本地程序调用(ALPC)”接口中的本地提权漏洞。在推特上披露该漏洞并链向GitHub上的PoC之后,SandboxEscaper宣称自己将消失一段时间。

分析师证实Windows零日漏洞利用

美国计算机应急响应小组(CERT/CC)漏洞分析师 Will Dormann 测试了该漏洞利用程序,并确认对打全补丁的64位 Windows 10 系统有效。

Dormann随即在CERT发布了漏洞说明:“微软Windows任务计划在高级本地程序调用(ALPC)接口中含有一个本地提权漏洞,可致本地用户获取系统(SYSTEM)权限。”

微软Windows任务计划在ALPC的处理上存在漏洞,能令本地用户获得系统(SYSTEM)权限。我们已经证实该公开漏洞利用代码对64位 Windows 10 和 Windows Server 2016 系统有效。该公开可用的漏洞利用程序源代码经修改后也可能适用于其他Windows版本。

从该漏洞说明来看,CERT目前并未发现实际解决方案。

安全研究员 Kevin Beaumont 在DoublePulsar上解释了该漏洞利用程序的局限性,并描述了利用该漏洞的其他方法。他还在GitHub上贴出了漏洞代码以方便分析。

如何在自身系统上检测该漏洞利用

如果使用微软Sysmon工具,查找spoolsv.exe产出异常进程的情况,这是该漏洞利用(或另一个Spooler漏洞利用)正在执行的确切迹象。同样是用Sysmon,查找connhost.exe(任务计划)产生异常进程(例如后台打印程序)的情况。

切实修复应出自微软。微软发言人已表示“将尽快主动更新受影响系统。”PoC代码就在网上挂着,而下一次周二补丁日还有两周才到来,攻击者有相当长的窗口期可以对目标的Windows主机下手。

随着这一最新Windows操作系统漏洞的披露,IT人员需特别注意其网络用户的行为。SandboxEscaper“研究员”在推特上发布的PoC,给了恶意攻击者入侵公司企业盗取有价值信息的有利条件。

应持续应用网络流量分析来检测进出网络的异常流量,并标记用户异于往常的行为表现。此类异常行为就是有人正利用该漏洞提升自身权限的显著指标。我们不得不等待微软的响应,但如果直到既定的9月11号周二补丁日之前都没有任何缓解措施发布,黑客将有2周之久的窗口期可供利用该漏洞。

漏洞的利用方法原文链接:

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f