関連記事
Windows、ゼロデイ脆弱性が再びTwitterで公表される
Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事、Ars Technicaの記事、On MSFTの記事、PoC)。
今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。
ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。
なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。
スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | Windows
関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク
関連キーワード
スポンサードリンク
- WindowsのAI対応PC、RAM要件を16GBまで引き上げか 1/22 09:16
- Microsoft Edge Insider版、スクリーンショット撮影にもAI機能を実装 1/22 09:15
- Microsoft、Windows 11のメモ帳にもAI機能搭載を進める 1/12 17:11
- パナソニック、スマートテレビにFire OSを採用へ 1/11 16:11
- Microsoft、CanaryチャネルのWindows 11でワードパッド削除計画を進める 1/10 09:34