Windows 10特权提升0day漏洞预警

2019-05-27 来源:原创 作者:腾讯电脑管家
【文章摘要】上周,一位名叫SandBoxEscaper的暴躁女黑客SandboxEscaper在2019年5月21日-5月24日公开了4份Windows平台下的POC代码:https://github.com/SandboxEscaper/polarbearrepo,原POC演示了写任意文件DACL并删除系统目录下文件。腾讯御见威胁情报中心捕获到一个企图使用0day本地特权提升漏洞的恶意样本,利用了上述4个0day中的一个。

漏洞背景

上周,一位名叫 SandBoxEscaper 的暴躁女黑客SandboxEscaper2019521-524日公开了4Windows平台下的POC代码:https://github.com/SandboxEscaper/polarbearrepo,原POC演示了写任意文件DACL并删除系统目录下文件。

腾讯御见威胁情报中心捕获到一个企图使用0day本地特权提升漏洞的恶意样本,利用了上述40day中的一个。暴躁女黑客SandBoxEscaper曾多次在Github公开披露Windows0day漏洞。目前,微软尚未发布相关补丁。腾讯安全专家提醒网友,勿轻易打开来历不明的程序或文档。开启杀毒软件的防护功能,以降低风险。

漏洞影响范围:

Windows10 x86/x64

目前微软暂时没有发布对应补丁

样本分析:

我们在野外捕获到一个企图使用0day本地特权提升漏洞的恶意样本:


经过对比漏洞代码,我们确认样本使用了SandboxEscaper在Github中公布的代码:


样本触发漏洞设置指定对象的SECURITY DESCRIPTOR,并改写system32\license.rtf文件为恶意DLL,DCOM远程调用DiagnosticsHub.StandardCollector.Service 服务的DiagnosticsHub_StandardCollector_Runtime!Microsoft::DiagnosticsHub::StandardCollector::CollectionSession::AddAgent方法,由于文件在system32目录下,当GetValidAgentPath验证通过,可以加载指定模块:


样本加载修改后的恶意模块:


目前样本并没有远程下载或执行其他功能模块:



防御建议:

1.安装腾讯电脑管家,腾讯御点等终端安全产品拦截病毒攻击;

2.不要打开来源不明的程序或文档,在微软发布安全补丁后及时安装。

电脑管家V13.5

权限雷达全新升级

详情>>

版本更新:2020.02.20