Брешь в Windows 10 позволяет украсть все данные

Второй раз за последние два месяца исследователь в области безопасности, известный в Сети как SandboxEscaper, раскрыл в Twitter информацию об уязвимости повышения привилегий в Windows, затрагивающей новые версии ОС, в том числе Windows 10 (все редакции, включая последнюю сборку October 2018 Update), Server 2016 и Server 2019. PoC-код для эксплуатации проблемы размещен на GitHub.

Уязвимость связана со службой совместного доступа к данным (Microsoft Data Sharing, dssvc.dll) и позволяет атакующему повысить привилегии на скомпрометированной системе. Проблеме не подвержены версии Windows 8.1 и более ранние.

Опубликованный PoC-код удаляет файлы, для стирания которых обычно требуются права администратора. С соответствующими модификациями скрипт может использоваться и для других действий, полагают специалисты, проанализировавшие эксплоит. Вместе с тем эксперты предостерегают от запуска скрипта, поскольку он может привести к удалению критически важных файлов и вызвать сбой в работе системы.

В конце августа SandboxEscaper уже публиковал информацию о похожей уязвимости в Windows, также предоставив соответствующий PoC-код. Уязвимость затрагивала планировщик задач Windows и была связана с обработкой ALPC. Производитель устранил проблему в сентябре с выпуском плановых обновлений безопасности.

Как и в предыдущем случае, специалисты компании ACROS Security разработали временный патч (так называемый 0Patch) для новой уязвимости. Сейчас они работают над портированием «микропатча» на все подверженные проблеме версии Windows. Когда будет доступно официальное обновление от Microsoft, в настоящее время неизвестно.