补丁未出,漏洞利用代码已发布。很可能微软还没来得及修复,Windows本地提权漏洞利用程序便被集成到恶意软件里了。
上周,一名女性安全研究人员在三天内接连公布了4个此前未公开的微软Windows漏洞,且均为本地提权漏洞,可将被黑系统上的本地用户权限提升至管理员权限。
这4个漏洞,外加一个微软上周刚修复漏洞的利用程序,都被该女性研究人员以SandboxEscaper (沙箱逃逸者) 之名发布到了GitHub上。该研究人员过去也曾发布过有效零日漏洞攻击,这次则是在5月21日发布了第一个漏洞利用程序,22日至23日又每天追加了两个。
Tripwire漏洞与暴露研究团队(VERT)计算机安全研究员 Craig Young 表示,漏洞本身的风险或许不高,但利用代码可被集成到流行恶意软件框架中。
“
总体上看,这些漏洞不会显著改变常规安全建议,人们还是应该使用包括终端监视在内的层次化安全方法。与本周早些时候披露的计划任务漏洞利用不同,这些漏洞不需要攻击者知道用户名和密码,也就是说可以更切实地融入恶意软件当中。
公布或 “释放” 未知漏洞及漏洞利用代码的做法,曾是漏洞研究人员用来惩罚软件供应商对软件安全缺乏重视或对研究人员的漏洞报告毫无响应的流行方式。然而,随着公司企业越来越认真对待安全问题,随着漏洞利用的后果越来越可怕,研究人员也越来越倾向于通过协作披露的过程与软件制造商合作修复漏洞。
微软与该研究人员可能曾就其中一个漏洞合作过,并于本月早些时候的周二补丁日发布了该漏洞的补丁。在公告中,微软称已修复编号为CVE-2019-0863的漏洞,并感谢了安全公司Palo Alto Networks和与SandboxEscaper相关联的PolarBear。该研究人员公布的漏洞利用代码就托管在名为PolarBearRepo的GitHub存储库中。
然而,随着这4个漏洞利用代码的公布,微软却变得更为谨慎了。
微软在声明中称:微软向客户承诺会调查所报告的安全问题,并将尽快为受影响设备提供更新。我们敦促漏洞发现者遵从协同披露操作,以减少客户的潜在风险。
SandboxEscaper在GitHub上公布了5个漏洞利用程序。5月25日,该研究人员发布了名为BearLPE的代码片段,能利用计划任务提升本地用户权限。本地提权技术可被攻击者用于绕过操作系统围绕用户角色所设的安全防护措施,在目标系统上执行更多操作。
5月22日,该研究人员又发布了两个漏洞利用程序,其中一个名为AngryPolarBearBug2,针对的正是微软一周前刚发布补丁的漏洞。5月23日,紧接着另外两个漏洞利用程序被抛出。
安全公司Tenable高级研究工程师Satnam Narang表示,尽管这些漏洞利用起来不复杂,其中两个却是所谓的竞争条件类漏洞,需在非常紧张的时间框架内执行特定动作,想用成功不是那么容易。
“
这些零日漏洞利用中,有些真的很难应用成功;但有些已经有特定的策略可以解决,应用某些产品和安全工具就行。
而且,由于这些漏洞利用程序都不能远程使用,它们并不像某些攻击那么危险。
与SandboxEscaper之前发布过的漏洞利用类似,这些漏洞利用代码也是本地提权,攻击者只有在目标系统中立足之后才能利用。
SandboxEscaper以毫无预兆地发布本地提权漏洞利用(LPE)而闻名,此前多次表达过对软件和安全公司的厌恶。
她甚至在5月23日的帖子中写道:
“
这该死的软件行业。我反正不想以此为生。我讨厌这一行的所有人。每个人都觉得自己懂得更多。每个人都喜欢对别人横加指责。