Luka typu 0-day w Windowsie pozwala nadpisywać pliki

Mimo, że każda kolejna generacja systemu Windows dostaje coraz lepsze opcje podnoszące bezpieczeństwo, a Microsoft ostatnio wprowadził funkcję Sandboxa dla aplikacji Windows Defender, to niestety co jakiś czas pojawiają się informacje o groźnych lukach w oprogramowaniu. Najgorszymi dla producenta dziurami są 0-day, czyli luki dnia zerowego, gdyż producent nie posiada jeszcze odpowiedniej łatki, co sprawia, że użytkownicy są podatni na atak. 

Jak donosi portal Bleeping Computer[1], Sandbox Escaper, która odkryła już wcześniej inny błąd[2], wskazała nową lukę 0-day, dzięki której atakujący może nadpisać wybrane pliki. Przygotowany test (PoC – Proof of Concept) pozwolił na nadpisanie pliku systemowego PCI.SYS, zawierającego informacje o problemach z oprogramowaniem i sprzętem. Dane te są zbierane poprzez Windows Error Reporting (WER).

Źródło: https://www.bleepingcomputer.com/news/security/windows-zero-day-bug-allows-overwriting-files-with-arbitrary-data/
Źródło: https://www.bleepingcomputer.com/news/security/windows-zero-day-bug-allows-overwriting-files-with-arbitrary-data/

Co ciekawe, exploit wykorzystujący błąd posiada pewne ograniczenia. Przykładowo przy próbie użycia na maszynie z procesorem jednordzeniowym (co jest w dzisiejszych czasach zdarza się coraz rzadziej). Jak dodaje twórczyni PoC, w niektórych przypadkach działanie exploita może zająć trochę czasu. Will Dormann, który jest ekspertem ds. bezpieczeństwa w CERT, sprawdził podatność, zaznaczając, że nie występuje on w każdym przypadku.  

 

 

 

Luka tego typu pozwala na przeprowadzenie ataku Denial-of-Service, mimo, że konto użytkownika nie posiada praw administratora. PCI.SYS to komponent odpowiadający za prawidłowe bootowanie systemu. Jak dodaje Dormann, plik PCI.SYS nie jest szczególnie ważny, ale sam fakt, że można go nadpisać jest niepokojący.

[1] https://www.bleepingcomputer.com/news/security/windows-zero-day-bug-allows-overwriting-files-with-arbitrary-data/
[2] https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

Tagi: