Специалист по информационной безопасности, известный под псевдонимом SandboxEscaper, опубликовал в Twitter информацию об уязвимости нулевого дня, которая затрагивает Windows 10, Server 2016 и Server 2019.
Характер уязвимости
Брешь связана с локальным сервисом Microsoft Data Sharing, осуществляющим обмен данными между приложениями. Уязвимость в библиотеке dssvc.dll позволяет поднять привилегии пользователя. Это даёт возможность удалять файлы, которые иначе может убрать только администратор.
https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper) October 23, 2018
Используя уязвимость, можно подменить заражёнными копиями DLL-библиотеки и иные критически важные файлы. Эксплойт доступен на GitHub.
Похожие уязвимости
В августе 2018 года тот же SandboxEscaper обнаружил уязвимость, связанную с работой механизма Advanced Local Procedure Call (ALPC) в Windows Task Scheduler. Он описал баг в Twitter и разместил эксплойт на GitHub. Позднее SandboxEscaper пытался удалить твит, но передумал. Известно, что хакеры уже взяли на вооружение эту уязвимость.
Эксперт компьютерной группы реагирования на чрезвычайные ситуации (CERT) Уилл Дорманн (Will Dormann) тогда подтвердил наличие бреши и добавил её в базу данных CERT. Специалист по информационной безопасности Кевин Бомонт (Kevin Beaumont) заявил о сходстве уязвимости в Microsoft Data Sharing с августовской уязвимостью в ALPC .
Реакция Microsoft
В Microsoft пока не комментируют ситуацию. Компания ACROS Security представила неофициальный микропатч в рамках своей платформы 0patch.
В начале октября 2018 года в браузере Edge обнаружили брешь, позволяющую запускать любые программы на удалённом компьютере.
Источник: