24.Windows任意檔案讀取漏洞
阿新 • • 發佈:2018-12-22
漏洞概述:
近日,國外安全研究員SandboxEscaper又一次在推特上公佈了新的Windows 0 day漏洞細節及PoC。這是2018年8月開始該研究員公佈的第三個windows 0 day漏洞。此次披露的漏洞可造成任意檔案讀取。該漏洞可允許低許可權使用者或惡意程式讀取目標Windows主機上任意檔案的內容,但不可對檔案進行寫入操作。在微軟官方補丁釋出之前,所有windows使用者都將受此漏洞影響。
目前該作者的推特賬號已被凍結,Github賬號已被封禁,但目前該漏洞PoC已公開,請相關使用者引起關注。
參考連結:https://thehackernews.com/2018/12/windows-zero-day-exploit.html
影響範圍:
所有Windows版本
漏洞演示視訊:
https://v.qq.com/x/page/l1355lq4hp7.html
漏洞驗證工具可到下面的連結下載:
https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意檔案讀取漏洞排查工具.zip
漏洞復現:
防護建議:
該漏洞不能遠端利用,因此想要觸發該漏洞,需在目標主機上執行漏洞利用程式,截止本通告發布,微軟官網仍未釋出修復補丁,請使用者及時持續關注官方的修復公告。
為防止攻擊者利用該漏洞讀取本地的敏感資訊,請謹慎執行來源不明的檔案,及時安裝防毒軟體,並實時監控攻擊者的入侵行為,攻擊者常見的攻擊手段如下圖所示:
根據攻擊者的常用手段,可重點關注具有以下特徵的告警:
- 若同一來源IP地址觸發多條告警,若觸發告警時間較短,判斷可能為掃描行為,若告警事件的協議摘要中存在部分探測驗證payload,則確認為漏洞掃描行為,若協議摘要中出現具有攻擊性的payload,則確認為利用漏洞執行惡意程式碼。
- 若告警事件為服務認證錯誤,且錯誤次數較多,認證錯誤間隔較小,且IP地址為同一IP地址,則判斷為暴力破解事件;若錯誤次數較少,但超出正常認證錯誤頻率,則判斷為攻擊者手工嘗試弱口令。
- 若內網監測發現木馬通訊告警,則認為伺服器確認已被攻陷。
參考連結:
http://blog.nsfocus.net/windows-zero-day-exploit/