可用于零日Windows攻擊的臨時Micropatch

admin

公開披露的Windows零日漏洞允許攻擊者在危害低權(quán)限帳戶時完全控制系統(tǒng)。這是一個解決辦法。

微軟本月在Windows中留下了兩個眾所周知的漏洞，但研究人員已經(jīng)介入并創(chuàng)建了臨時補丁，這些補丁可以很容易地應用于保護系統(tǒng)，直到有正式的補丁可用為止。
在12月的最后兩周，一個使用在線處理沙盒的安全愛好者發(fā)布了詳細信息和概念驗證，利用代碼在Windows中發(fā)現(xiàn)了兩個特權(quán)升級漏洞。Acros Security的研究人員已經(jīng)通過0patch發(fā)布了一個臨時的“Micropatch”，這是一個為零天缺陷提供內(nèi)存二進制修補的服務(wù)，他們目前也在測試第二個問題的修補程序。
沙盒攻擊者的漏洞之一允許低權(quán)限用戶讀取系統(tǒng)上的任何文件，包括屬于其他用戶的文件。該漏洞利用了名為msiAdvertiseProduct的Windows功能，該功能使用系統(tǒng)權(quán)限執(zhí)行操作，因此可能導致信息泄漏，特別是如果攻擊者知道他們可以公開的潛在敏感文件的路徑。
第二個漏洞更為嚴重，允許低權(quán)限用戶將任意文件覆蓋為系統(tǒng)，可能導致以最高權(quán)限執(zhí)行任意代碼。這個缺陷被稱為angrypolarbearbug，是0patch.com發(fā)布的一個micropatch。
權(quán)限提升漏洞不允許黑客在沒有用戶交互的情況下遠程闖入計算機。然而，一旦攻擊者通過其他方法（如通過電子郵件發(fā)送的惡意軟件）破壞低權(quán)限帳戶，他們就可以利用此類漏洞完全控制系統(tǒng)。Sandboxescaper自8月份以來已經(jīng)披露了四個Windows權(quán)限提升缺陷，第一個缺陷位于Windows任務(wù)調(diào)度程序中，在微軟發(fā)布補丁之前，黑客很快就利用了這一缺陷進行攻擊。
幸運的是，AngryPolarBearbug不像Windows任務(wù)調(diào)度程序那么容易被攻擊，因為它是一個爭用條件，所以需要多次重試才能成功，而且攻擊者無法完全控制覆蓋文件的數(shù)據(jù)。沙盒scaper發(fā)布的概念驗證覆蓋了Windows啟動過程中所需的關(guān)鍵系統(tǒng)文件，導致拒絕服務(wù)條件，而不是任意代碼執(zhí)行。然而，這并不意味著實現(xiàn)代碼執(zhí)行是不可能的。
“我們的Micropatch是針對Windows 10版本1803 64位的，”Acros Security的首席執(zhí)行官兼0patch.com服務(wù)的聯(lián)合創(chuàng)始人Mitja Kolsek說。我們通常只為一個或多個最流行的版本制作一個Micropatch，并等待用戶根據(jù)需要表達對移植到其他版本的興趣。”

如何應用微探針
應用臨時補丁需要從0patch.com安裝一個小型的軟件代理，然后它將直接在內(nèi)存中修補易受攻擊的Windows進程，而不必觸摸磁盤上的文件。這個過程稱為微補丁，不需要重新啟動操作系統(tǒng)，甚至不需要脆弱的過程。當正式的Microsoft更新準備好應用時，只需單擊一個按鈕就可以刪除補丁，而不會留下任何痕跡。
微貼裝在多種情況下都很有用。除了消除不存在官方補丁的零日缺陷外，它還可以用來修復軟件或操作系統(tǒng)版本中新發(fā)現(xiàn)的缺陷，這些缺陷已不再受開發(fā)人員的支持。在應用正式補丁需要重新啟動受影響的系統(tǒng)或執(zhí)行關(guān)鍵任務(wù)的應用程序的情況下，它也可以用作臨時解決方案。
微軟在每個月的第二個星期二發(fā)布補丁，這一天在軟件行業(yè)被稱為補丁星期二。它很少打破這個周期，通常只有在廣泛的攻擊中利用關(guān)鍵的零日漏洞時才會發(fā)布帶外安全補丁。這意味著至少在2月12日之前，該公司不太可能修復沙盒垃圾箱的AngryPolarBearbug和任意文件讀取缺陷。