Опубликован PoC-эксплойт к новой уязвимости нулевого дня в Windows. Он работает на полностью пропатченных ПК Windows 10 и позволяет удалить любой файл, в том числе с системными данными. Новая проблема, которой пока не присвоен CVE-идентификатор, представляет собой баг повышения привилегий, который кроется в Data Sharing Service (dssvc.dll). Эта служба, работающая под аккаунтом LocalSystem с широкими привилегиями, обеспечивает совместный доступ приложений к данным. Со слов исследователя SandboxEscaper, опубликовавшего PoC-код, найденная им уязвимость 0-day открывает возможность для удаления библиотек приложений (файлов DLL). В этом случае затронутая программа начинает искать библиотеку в других местах, в том числе там, где пользователю разрешен доступ на запись. Это хороший шанс для автора атаки: он сможет загрузить вредоносную библиотеку и скомпрометировать систему. «Эксплойт облегчит дальнейшее продвижение по сети и даже выполнение деструктивных действий, — таких как удаление ключевых системных файлов, после чего система перестанет функционировать», — пояснил в письменном виде Том Парсонс (Tom Parsons), руководитель исследований в Tenable. В результате PoC-атаки, предложенной SandboxEscaper, программа, которую он назвал Deletebug.exe, удаляет системный файл pci.sys, после чего пользователь больше не сможет запустить Windows. Наличие уязвимости подтвердили эксперт CERT/CC Уилл Дорман (Will Dormann) и исполнительный директор Acros Security Митя Колсек (Mitja Kolsek). Обоим удалось успешно применить эксплойт на полностью пропатченной и обновленной Windows 10. Согласно твиту Дормана, на Windows 8.1 и ниже служба Data Sharing отсутствует. Исследователь Кевин Бомон (Kevin Beaumont) удостоверился, что эксплойт работает на Windows 10, а также Windows Server 2016 и 2019. По его словам, уязвимость «позволяет, не имея прав администратора, удалить любой файл посредством использования новой службы Windows, не проверяющей разрешения». Стоит отметить, что публикация SandboxEscaper вряд ли вызовет всплеск эксплойт-активности: атор находки предупредил, что баг «низкокачественный», а его использование — «тот еще гемор». https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever. — SandboxEscaper (@SandboxEscaper) October 23, 2018 В своем письме Парсонс из Tenable уточнил: «Чтобы воспользоваться уязвимостью, нужно иметь доступ к системе или скомбинировать ее с удаленным эксплойтом». Сложность осуществления эксплойта на практике отметил и Бомон: It’s a cool find again. I think it would be fairly difficult to exploit in a meaningful way, you could possibly do it against some OEM drivers (eg graphics card update process) but I can’t imagine practical. — Kevin Beaumont (@GossiTheDog) October 23, 2018 Корпорация Microsoft находку пока не прокомментировала, а команда 0patch из Acros выпустила микропатч, который, по ее словам, успешно блокирует эксплойт. 7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas — 0patch (@0patch) October 23, 2018 Псевдоним SandboxEscaper уже известен читателям: в августе баг-хантер опубликовал через Twitter другую уязвимость нулевого дня в Windows. Она крылась в Планировщике заданий и была устранена в рамках сентябрьского «вторника патчей». 25.10.2018 https://threatpost.ru/windows-deletebug-zero-day-allows-privilege-escalation-destruction/28888/