Luka w Windowsie 10 pozwala kasować pliki. Na poprawkę poczekamy do listopada
Analityk bezpieczeństwa, znany w internecie jedynie jako „SandboxEscaper”, ujawnił na Twitterze lukę w systemie Windows 10. Zrobił to drugi raz w ciągu dwóch miesięcy. Opisowi podatności towarzyszy kod koncepcyjnego ataku 0-day, który znalazł się na GitHubie.
Tym razem 0-day związany jest z usługą Microsoft Data Sharing (dssvc.dll) – systemem wymiany danych między aplikacjami. Specjaliści, którzy przeanalizowali przykładowy atak, potwierdzili jego skuteczność. Jeśli atakujący ma już dostęp do systemu, może wykorzystać lukę do uzyskania wyższych uprawnień. W przykładzie skrypt jest wykorzystywany do usuwania plików, do których wymagane są uprawnienia administratora, z konta zwykłego użytkownika. Po odpowiednim zmodyfikowaniu kodu można zapewne wykonać inne czynności.
Podatność występuje w wielu nowszych wersjach Windowsa, w tym w Windows 10 October 2018 Update i Windows Server 2016. Kilku ekspertów potwierdziło także obecność luki w Windows Server 2019. Will Dormann z CERT/CC zaznaczył, że starsze wersje Windowsa, czyli 8.1 i wcześniejsze, nie są podatne, gdyż nie mają biblioteki dssvc.dll.
0-day jest podobny do tego, który „SandboxEscaper” opisał wcześniej, czyli podnoszenie uprawnień przez Advanced Local Procedure Call (ALPC). Jednak eksperymentując z nowszym 0-dayem lepiej uważać, gdyż został napisany tak, by kasować ważne pliki systemu Windows, co skutkuje zakończeniem pracy systemu i zmusza użytkownika do przechodzenia przez proces odtwarzania.
Poprzedni 0-day został dość szybko wykorzystany przez malware. Poprawka została wydana przez Microsoft tydzień później. „SandboxEscaper” twierdzi, że ten atak jest równie użyteczny. Atakujący może dzięki niemu skasować oryginalne pliki systemu lub biblioteki i na ich miejsce zapisać własne, złośliwe wersje. Microsoft zapowiedział, że tym razem na poprawkę również będziemy musieli czekać do drugiego wtorku miesiąca.
