انتشار اکسپلویت آسیب‌پذیری روزصفرم وصله نشده در ویندوز!

یک محقق امنیتی با نام مستعار SandboxEscaper در توییتر، هفته گذشته اکسپلویت کد اثبات مفهومی مربوط به یک آسیب‌پذیری روزصفرم، که سیستم‌عامل‌های مایکروسافتی را تحت تأثیر قرار می‌دهد منتشر نمود.

 SandboxEscaper همان محققی است که چندی پیش با انتشار اکسپلویت‌هایی برای دو آسیب‌پذیری روزصفرم وصله نشده در ویندوز، کاربران این سیستم‌عامل را در معرض خطر قرارداده بود.
این آسیب‌پذیری روزصفرم وصله نشده، در واقع باگ مربوط به خواندن فایل است که اجازه خواندن محتویات فایل‌های مهم ویندوز که به دسترسی مدیر نیاز دارند را به یک کاربر با کمترین حق دسترسی، یا یک برنامه مخرب می‌دهد.
آسیب‌پذیری مذکور مربوط به عملکرد تابع "MsiAdvertiseProduct" در ویندوز است که به گفته این محقق، به دلیل اعتبارسنجی نامناسب، تابع مذکور می‌تواند به منظور وادار ساختن سرویس‌ نصب‌کننده برای ایجاد یک فایل کپی از تمامی فایل‌ها به عنوان مجوز SYSTEM و خواندن محتوای آن‌ها مورد سوء استفاده قرار گیرد.
با توجه به اظهارات این محقق، آسیب‌پذیری مذکور از این رو حائز اهمیت است که، بسیاری از نرم‌افزارهای ایجاد سند، مانند Office، در واقع فایل‌ها را در مکان‌های ثابتی نگه می‌دارند که حاوی نام و آدرس کامل مسیر اسنادی است که اخیراً باز شده‌اند. بنابراین با خواندن فایل‌های مشابه این اسناد، می‌توان نام اسناد ایجاد شده توسط سایر کاربران را بدست آورد، و باتوجه به ساختار سیستم‌فایل، می‌توان به فایل‌های ایجاد شده توسط کاربر در هرجایی دسترسی پیدا کرد.
SandboxEscaper علاوه بر به اشتراک‌گذاری ویدئوی نشان‌دهنده این آسیب‌پذیری، لینک حاوی اکسپلویت کد اثبات مفهومی (PoC) آن را نیز در Github قرار داده است. لازم به ذکر است که این کد برای سومین آسیب‌پذیری روزصفرم ویندوز بوده که توسط این محقق در Github قرار داده شده است و نکته قابل توجه این است که حساب کاربری محقق نامبرده در GitHub از آن تاریخ به بعد غیرفعال شده است!
این برای سومین بار در چند ماه اخیر است که SandboxEscaper  آسیب‌پذیری روزصفرم ویندوز را فاش می‌کند. در ماه اکتبر، SandboxEscaper اکسپلویت کد اثبات مفهومی را برای آسیب‌پذیری ارتقاء سطح دسترسی در Data Sharing مایکروسافت منتشر نمود که به کاربری با سطح دسترسی پایین اجازه می‌داد بتواند فایل‌های سیستمی مهم و حیاتی را از سیستم ویندوزی قربانی حذف نماید. یا در اواخر ماه آگوست، این محقق جزئیات و اکسپلویت کد اثبات مفهومی را برای نقص ارتقاء سطح دسترسی محلی در Microsoft Task Scheduler افشا نمود که به علت خطا در کنترل سرویس Advanced Local Procedure Call ‪(ALPC)‬ رخ می‌داد.
مدت کوتاهی پس از انتشار اکسپلویت PoC، و پیش از آنکه مایکروسافت آسیب‌پذیری‌های مذکور را در به‌روزرسانی سپتامبر ۲۰۱۸ مرتفع نماید، این آسیب‌پذیری‌ها به طور چشمگیری مورد سوءاستفاده قرار گرفتند.

 

منبع خبر: https://thehackernews.com/2018/12/windows-zero-day-exploit.html