复制代码

24.Windows任意文件读取漏洞

漏洞概述:

近日,国外安全研究员SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个windows 0 day漏洞。此次披露的漏洞可造成任意文件读取。该漏洞可允许低权限用户或恶意程序读取目标Windows主机上任意文件的内容,但不可对文件进行写入操作。在微软官方补丁发布之前,所有windows用户都将受此漏洞影响。

目前该作者的推特账号已被冻结,Github账号已被封禁,但目前该漏洞PoC已公开,请相关用户引起关注。

参考链接:https://thehackernews.com/2018/12/windows-zero-day-exploit.html

影响范围:

所有Windows版本

漏洞演示视频:

https://v.qq.com/x/page/l1355lq4hp7.html

漏洞验证工具可到下面的链接下载:

https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意文件读取漏洞排查工具.zip

漏洞复现:

实验环境:windows 7

首先创建两个实验账户:bmjoker,test

登陆test账户,并在桌面上放一个文本文档test:

在c盘下放一个test2.txt,来测试是否可以跨目录读取:

接下来登陆bmjoker账户,利用爆出来的POC读取test账户桌面上的文本文档:

可以看到已经成功读取test。

同时也成功读取test2.txt

防护建议:

该漏洞不能远程利用,因此想要触发该漏洞,需在目标主机上运行漏洞利用程序,截止本通告发布,微软官网仍未发布修复补丁,请用户及时持续关注官方的修复公告。

为防止攻击者利用该漏洞读取本地的敏感信息,请谨慎运行来源不明的文件,及时安装杀毒软件,并实时监控攻击者的入侵行为,攻击者常见的攻击手段如下图所示:

根据攻击者的常用手段,可重点关注具有以下特征的告警:

  • 若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
  • 若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
  • 若内网监测发现木马通信告警,则认为服务器确认已被攻陷。

 

参考链接:

http://blog.nsfocus.net/windows-zero-day-exploit/

https://blog.csdn.net/qq_29647709/article/details/85163723

posted @ 2018-12-22 18:09  bmjoker  阅读(4135)  评论(0编辑  收藏  举报