Windows任意文件读取漏洞(NS-2018-0041)

1.漏洞描述:

近日,国外安全研究员SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个windows 0 day漏洞。此次披露的漏洞可造成任意文件读取。该漏洞可允许低权限用户或恶意程序读取目标Windows主机上任意文件的内容,但不可对文件进行写入操作。在微软官方补丁发布之前,所有windows用户都将受此漏洞影响。

A security researcher with Twitter alias SandboxEscaper today released proof-of-concept (PoC) exploit for a new zero-day vulnerability affecting Microsoft's Windows operating system.SandboxEscaper is the same researcher who previously publicly dropped exploits for two Windows zero-day vulnerabilities, leaving all Windows users vulnerable to the hackers until Microsoft patched them.The newly disclosed unpatched Windows zero-day vulnerability is an arbitrary file read issue that could allow a low-privileged user or a malicious program to read the content of any file on a targeted Windows computer that otherwise would only be possible via administrator-level privileges.

2.影响范围:

Windows所有版本

漏洞演示视频(Youtube):

漏洞验证工具(POC):

链接:https://pan.baidu.com/s/1zy8sgZNL3fMmrsvU_yEohw
KEY:1402

3.漏洞复现:

实验环境:windows7

错误提示解决:

如出现错误请使用管理员运行CMD程序。

首先我们需要创建两个标准用户:admin、admin2。密码都为123456。

我们切换admin2用户在桌面新建一个txt文件为:admin2.txt。

之后切换到切换admin到用户,使用我们POC去读取admin2用户桌面的admin2.txt文件。

可以看到我们是没有给权限的,但是下面我们用POC直接读取到了admin2.txt的文件信息。


4.防护措施:

该漏洞不能远程利用,因此想要触发该漏洞,需在目标主机上运行漏洞利用程序,截止本通告发布,微软官网仍未发布修复补丁,请用户及时持续关注官方的修复公告。

为防止攻击者利用该漏洞读取本地的敏感信息,请谨慎运行来源不明的文件,及时安装杀毒软件,并实时监控攻击者的入侵行为,攻击者常见的攻击手段如下图所示:

根据攻击者的常用手段,可重点关注具有以下特征的告警:

  • 若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
  • 若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
  • 若内网监测发现木马通信告警,则认为服务器确认已被攻陷。

■ 预警编号 NS-2018-0041

■ 发布日期 2018-12-21

■ 危害等级 高,此漏洞可导致攻击者读取任意系统文件,PoC已公开。


作者:龙狮
出处:msfconsole.com/cyld2/
版权说明:转发标明出处
关注我们:如果你喜欢我们的文章或我们的网站可以在文章最下方的输入框输入邮箱订阅,好文章将会第一时间推送

Show Comments

Get the latest posts delivered right to your inbox.