Windows 10特权提升0day漏洞预警

作者:???深圳市网安计算机安全检测技术有限公司 2019/05/28 10:14:03 163次阅读 国际
文章来源:https://guanjia.qq.com/news/n5/2522.html

漏洞背景

????????上周,一位名叫?SandBoxEscaper?的暴躁女黑客SandboxEscaper在2019年5月21日-5月24日公开了4份Windows平台下的POC代码:https://github.com/SandboxEscaper/polarbearrepo,原POC演示了写任意文件DACL并删除系统目录下文件。

????????腾讯御见威胁情报中心捕获到一个企图使用0day本地特权提升漏洞的恶意样本,利用了上述4个0day中的一个。暴躁女黑客SandBoxEscaper曾多次在Github公开披露Windows的0day漏洞。目前,微软尚未发布相关补丁。腾讯安全专家提醒网友,勿轻易打开来历不明的程序或文档。开启杀毒软件的防护功能,以降低风险。

漏洞影响范围:

Windows10 x86/x64

目前微软暂时没有发布对应补丁

样本分析:

我们在野外捕获到一个企图使用0day本地特权提升漏洞的恶意样本:

alt

经过对比漏洞代码,我们确认样本使用了SandboxEscaper在Github中公布的代码:

alt

????????样本触发漏洞设置指定对象的SECURITY DESCRIPTOR,并改写system32\license.rtf文件为恶意DLL,DCOM远程调用DiagnosticsHub.StandardCollector.Service 服务的? ? ? ?????????DiagnosticsHub_StandardCollector_Runtime!Microsoft::DiagnosticsHub::StandardCollector::CollectionSession::AddAgent方法,由于文件在system32目录下,当GetValidAgentPath验证通过,可以加载指定模块:

alt

样本加载修改后的恶意模块:

alt

目前样本并没有远程下载或执行其他功能模块:

alt


防御建议:

1.安装腾讯电脑管家,腾讯御点等终端安全产品拦截病毒攻击;

2.不要打开来源不明的程序或文档,在微软发布安全补丁后及时安装。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室