Ένας ερευνητής ασφάλειας αποκάλυψε ένα νέο 0day των Windows στο Twitter. Είναι η δεύτερη φορά σε διάρκεια δύο μηνών. Ο ερευνητής, ο οποίος είναι γνωστός online με το ψευδώνυμο SandboxEscaper, δημοσίευσε επίσης και το PoC στο GitHub.
It is το δεύτερο 0day των Windows που επηρεάζει την Κοινή χρήση δεδομένων (Microsoft Data Sharing από το dssvc.dll), μια τοπική υπηρεσία που παρέχει την διαχείριση δεδομένων μεταξύ των εφαρμογών.
Σύμφωνα με πολλούς ειδικούς ασφαλείας που ανέλυσαν το PoC, ένας εισβολέας μπορεί να χρησιμοποιήσει το 0day για να αυξήσει τα προνόμιά του σε συστήματα στα οποία έχει ήδη πρόσβαση.
Το PoC, ειδικότερα, κωδικοποιήθηκε για να διαγράφει αρχεία για τα οποία ένας χρήστης κανονικά θα χρειαζόταν δικαιώματα διαχειριστή. Με τις κατάλληλες τροποποιήσεις, μπορούν να πραγματοποιηθούν και άλλες ενέργειες, πιστεύουν οι ειδικοί. Το 0day επηρεάζει μόνο τις τελευταίες εκδόσεις του λειτουργικού συστήματος των Windows. Έτσι κινδυνεύουν όλες οι εκδόσεις των Windows 10, του Server 2016 και του νέου Server 2019, σύμφωνα με αρκετούς ειδικούς ασφαλείας που επιβεβαίωσαν το PoC.
Σύμφωνα με τον Will Dormann του CERT/CC, αυτό οφείλεται στο ότι η “υπηρεσία κοινής χρήσης δεδομένων (dssvc.dll) δεν φαίνεται να υπάρχει στο Windows 8.1 και σε προηγούμενες εκδόσεις.”
Το σημερινό 0day είναι σχεδόν ίδιο με το πρώτο που δημοσίευσε ο SandboxEscaper στο Twitter στα τέλη Αυγούστου. Ο SandboxEscaper υποστηρίζει ότι το δεύτερο ασφαλείας είναι εξίσου χρήσιμο για τους επιτιθέμενους όπως και και το πρώτο. Ο ερευνητής πιστεύει ότι οι προγραμματιστές κακόβουλου λογισμικού μπορούν να το χρησιμοποιήσουν για να διαγράψουν αρχεία ή DLL και να τα αντικαταστήσουν με κακόβουλες εκδόσεις.
Ακριβώς όπως και μετά την κυκλοφορία του πρώτου 0day η εταιρεία 0Patch, κυκλοφόρησε ένα fix μέχρι να διαθέσει η Microsoft κάποια επίσημη επιδιόρθωση. Η εταιρεία φαίνεται να προσπαθεί αυτή τη στιγμή να δημιουργήσει ένα “micro-patch” για όλες τις εκδόσεις των Windows που επηρεάζονται.
__________________
