示意圖,與新聞事件無關。

今年8月在推特上公布微軟零時差漏洞的安全研究人員SandboxEscaper,本周又揭露另一個Windows零時差漏洞,還在GitHub釋出概念性驗證攻擊程式。

此一漏洞出現在Windows的Data Sharing Service中,這是一個負責調解應用程式之間資料的服務,且只現身於Windows 10、Windows Server 2016及Windows Server 2019,也只有這3個Windows平台受到該漏洞的影響。

根據SandboxEscaper的說法,駭客可藉由該漏洞挾持第三方軟體DLL檔,或是刪除系統服務所使用的暫存檔案,也能將它們置換為惡意版本。

在SandboxEscaper公布漏洞及概念性驗證程式之後,CERT協調中心(CERT/CC)的漏洞分析師Will Dormann及ACROS Security執行長Mitja Kolsek都確認了該漏洞的真實性,可於最新的Windows 10平台上運作。

Kolsek還替SandboxEscaper向微軟安全回應中心(Microsoft Security Response Center,MSRC)求證,證實該漏洞及概念性攻擊程式已具備獲得微軟抓漏獎勵的資格。

SandboxEscaper的作法儘管受到爭議,但很可能只是要引起外界的關注,她說自己連高中都沒畢業,只是很擅長找出程式的安全漏洞,還以「腳本小子」(script kiddie)來形容自己。「腳本小子」與駭客的差別在於後者通常具備專業的安全知識,而前者僅是以前人開發的程式來攻擊漏洞,不過Kolsek認為SandboxEscaper揭露的是個並不容易發現的漏洞,且其概念性驗證攻擊程式頗有水準。


Advertisement

更多 iThome相關內容