漏洞概述:
近日,國外安全研究員SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞細節及PoC。這是2018年8月開始該研究員公布的第三個windows 0 day漏洞。此次披露的漏洞可造成任意文件讀取。該漏洞可允許低權限用戶或惡意程序讀取目標Windows主機上任意文件的內容,但不可對文件進行寫入操作。在微軟官方補丁發布之前,所有windows用戶都將受此漏洞影響。
目前該作者的推特賬號已被凍結,Github賬號已被封禁,但目前該漏洞PoC已公開,請相關用戶引起關注。
參考鏈接:https://thehackernews.com/2018/12/windows-zero-day-exploit.html
影響范圍:
所有Windows版本
漏洞演示視頻:
https://v.qq.com/x/page/l1355lq4hp7.html
漏洞驗證工具可到下面的鏈接下載:
https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意文件讀取漏洞排查工具.zip
漏洞復現:
實驗環境:windows 7
首先創建兩個實驗賬戶:bmjoker,test
登陸test賬戶,並在桌面上放一個文本文檔test:
在c盤下放一個test2.txt,來測試是否可以跨目錄讀取:
接下來登陸bmjoker賬戶,利用爆出來的POC讀取test賬戶桌面上的文本文檔:
可以看到已經成功讀取test。
同時也成功讀取test2.txt
防護建議:
該漏洞不能遠程利用,因此想要觸發該漏洞,需在目標主機上運行漏洞利用程序,截止本通告發布,微軟官網仍未發布修復補丁,請用戶及時持續關注官方的修復公告。
為防止攻擊者利用該漏洞讀取本地的敏感信息,請謹慎運行來源不明的文件,及時安裝殺毒軟件,並實時監控攻擊者的入侵行為,攻擊者常見的攻擊手段如下圖所示:
根據攻擊者的常用手段,可重點關注具有以下特征的告警:
- 若同一來源IP地址觸發多條告警,若觸發告警時間較短,判斷可能為掃描行為,若告警事件的協議摘要中存在部分探測驗證payload,則確認為漏洞掃描行為,若協議摘要中出現具有攻擊性的payload,則確認為利用漏洞執行惡意代碼。
- 若告警事件為服務認證錯誤,且錯誤次數較多,認證錯誤間隔較小,且IP地址為同一IP地址,則判斷為暴力破解事件;若錯誤次數較少,但超出正常認證錯誤頻率,則判斷為攻擊者手工嘗試弱口令。
- 若內網監測發現木馬通信告警,則認為服務器確認已被攻陷。
參考鏈接: