示意圖,與新聞事件無關。

代號為SandboxEscaper的獨立安全研究人員繼去年12月20日公布她所發現的第三個Windows零時差漏洞之後,又在12月底公布了第四個Windows 10零時差漏洞及概念性驗證(Proof of Concept,PoC)程式,該漏洞允許駭客利用Windows錯誤報告(Windows Error Reporting,WER)架構所蒐集的內容覆蓋任何的Windows檔案,可造成服務阻斷攻擊。而SandboxEscaper的 Twitter帳號也已被停權

SandboxEscaper所釋出的PoC是以WER的內容覆蓋了pci.sys檔,pci.sys為電腦開機必備的檔案,原本列舉了實體裝置物件,該PoC的目的就是讓電腦無法開機。

不過,漏洞分析師Will Dormann在驗證了PoC之後表示,SandboxEscaper這次所揭露的零時差漏洞需要很多耐性才能重製,而且它只有偶爾才能覆蓋目標檔案。安全專家Mitja Kolsek則認為它也許是個本地端權限擴張漏洞,但如果試了幾百次才成功一次,那就不是什麼大不了的事。

此外,若所攻擊的電腦採用的是單核CPU,那麼此一PoC亦無用武之地。

SandboxEscaper自己也說這是個跛腳的漏洞,但修改該PoC則可被用來關閉第三方的防毒軟體。

這次SandboxEscaper曾提前知會微軟,惟正逢聖誕假期,而且也只有短短幾天的時間,她便公布了漏洞細節與PoC,可能也是造成SandboxEscaper帳號被Twitter停用的原因。

現在SandboxEscaper則說她缺錢花用,而在自己的部落格開始兜售漏洞。


Advertisement

更多 iThome相關內容