Windows零日漏洞就在那里，CERT確知尚無實(shí)際解決方案，微軟周二補(bǔ)丁雷打不動(dòng)。

上周，推特用戶“SandboxEscaper(沙箱逃逸者)”因厭煩IT安全工作，憤而披露本地提權(quán)漏洞及其概念驗(yàn)證代碼(PoC)，并稱：

“微軟是個(gè)蠢貨，我等不及賣出他們軟件里的漏洞了

該漏洞是微軟Windows任務(wù)計(jì)劃所用“高級(jí)本地程序調(diào)用(ALPC)”接口中的本地提權(quán)漏洞。在推特上披露該漏洞并鏈向GitHub上的PoC之后，SandboxEscaper宣稱自己將消失一段時(shí)間。

分析師證實(shí)Windows零日漏洞利用

美國計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT/CC)漏洞分析師 Will Dormann 測(cè)試了該漏洞利用程序，并確認(rèn)對(duì)打全補(bǔ)丁的64位 Windows 10 系統(tǒng)有效。

Dormann隨即在CERT發(fā)布了漏洞說明：“微軟Windows任務(wù)計(jì)劃在高級(jí)本地程序調(diào)用(ALPC)接口中含有一個(gè)本地提權(quán)漏洞，可致本地用戶獲取系統(tǒng)(SYSTEM)權(quán)限。”

“微軟Windows任務(wù)計(jì)劃在ALPC的處理上存在漏洞，能令本地用戶獲得系統(tǒng)(SYSTEM)權(quán)限。我們已經(jīng)證實(shí)該公開漏洞利用代碼對(duì)64位 Windows 10 和 Windows Server 2016 系統(tǒng)有效。該公開可用的漏洞利用程序源代碼經(jīng)修改后也可能適用于其他Windows版本。

從該漏洞說明來看，CERT目前并未發(fā)現(xiàn)實(shí)際解決方案。

安全研究員 Kevin Beaumont 在DoublePulsar上解釋了該漏洞利用程序的局限性，并描述了利用該漏洞的其他方法。他還在GitHub上貼出了漏洞代碼以方便分析。

如何在自身系統(tǒng)上檢測(cè)該漏洞利用

“如果使用微軟Sysmon工具，查找spoolsv.exe產(chǎn)出異常進(jìn)程的情況，這是該漏洞利用(或另一個(gè)Spooler漏洞利用)正在執(zhí)行的確切跡象。同樣是用Sysmon，查找connhost.exe(任務(wù)計(jì)劃)產(chǎn)生異常進(jìn)程(例如后臺(tái)打印程序)的情況。

切實(shí)修復(fù)應(yīng)出自微軟。微軟發(fā)言人已表示“將盡快主動(dòng)更新受影響系統(tǒng)。”PoC代碼就在網(wǎng)上掛著，而下一次周二補(bǔ)丁日還有兩周才到來，攻擊者有相當(dāng)長(zhǎng)的窗口期可以對(duì)目標(biāo)的Windows主機(jī)下手。

隨著這一最新Windows操作系統(tǒng)漏洞的披露，IT人員需特別注意其網(wǎng)絡(luò)用戶的行為。SandboxEscaper“研究員”在推特上發(fā)布的PoC，給了惡意攻擊者入侵公司企業(yè)盜取有價(jià)值信息的有利條件。

應(yīng)持續(xù)應(yīng)用網(wǎng)絡(luò)流量分析來檢測(cè)進(jìn)出網(wǎng)絡(luò)的異常流量，并標(biāo)記用戶異于往常的行為表現(xiàn)。此類異常行為就是有人正利用該漏洞提升自身權(quán)限的顯著指標(biāo)。我們不得不等待微軟的響應(yīng)，但如果直到既定的9月11號(hào)周二補(bǔ)丁日之前都沒有任何緩解措施發(fā)布，黑客將有2周之久的窗口期可供利用該漏洞。

漏洞的利用方法原文鏈接：

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f)