漏洞背景
上周,一位名叫 SandBoxEscaper 的暴躁女黑客SandboxEscaper在2019年5月21日-5月24日公开了4份Windows平台下的POC代码:https://github.com/SandboxEscaper/polarbearrepo,原POC演示了写任意文件DACL并删除系统目录下文件。
腾讯御见威胁情报中心捕获到一个企图使用0day本地特权提升漏洞的恶意样本,利用了上述4个0day中的一个。暴躁女黑客SandBoxEscaper曾多次在Github公开披露Windows的0day漏洞。目前,微软尚未发布相关补丁。腾讯安全专家提醒网友,勿轻易打开来历不明的程序或文档。开启杀毒软件的防护功能,以降低风险。
漏洞影响范围:
Windows10 x86/x64
目前微软暂时没有发布对应补丁
样本分析:
我们在野外捕获到一个企图使用0day本地特权提升漏洞的恶意样本:
经过对比漏洞代码,我们确认样本使用了SandboxEscaper在Github中公布的代码:
样本触发漏洞设置指定对象的SECURITY DESCRIPTOR,并改写system32\license.rtf文件为恶意DLL,DCOM远程调用DiagnosticsHub.StandardCollector.Service 服务的DiagnosticsHub_StandardCollector_Runtime!Microsoft::DiagnosticsHub::StandardCollector::CollectionSession::AddAgent方法,由于文件在system32目录下,当GetValidAgentPath验证通过,可以加载指定模块:
样本加载修改后的恶意模块:
目前样本并没有远程下载或执行其他功能模块:
防御建议:
1.安装腾讯电脑管家,腾讯御点等终端安全产品拦截病毒攻击;
2.不要打开来源不明的程序或文档,在微软发布安全补丁后及时安装。