Windows任務計劃零日漏洞及PoC

Windows零日漏洞就在那裏，CERT確知尚無實際解決方案，微軟周二補丁雷打不動。

上周，推特用戶“SandboxEscaper(沙箱逃逸者)”因厭煩IT安全工作，憤而披露本地提權漏洞及其概念驗證代碼(PoC)，並稱：

“

微軟是個蠢貨，我等不及賣出他們軟件裏的漏洞了

該漏洞是微軟Windows任務計劃所用“高級本地程序調用(ALPC)”接口中的本地提權漏洞。在推特上披露該漏洞並鏈向GitHub上的PoC之後，SandboxEscaper宣稱自己將消失一段時間。

分析師證實Windows零日漏洞利用

美國計算機應急響應小組(CERT/CC)漏洞分析師 Will Dormann 測試了該漏洞利用程序，並確認對打全補丁的64位 Windows 10 係統有效。

Dormann隨即在CERT發布了漏洞說明：“微軟Windows任務計劃在高級本地程序調用(ALPC)接口中含有一個本地提權漏洞，可致本地用戶獲取係統(SYSTEM)權限。”

“

微軟Windows任務計劃在ALPC的處理上存在漏洞，能令本地用戶獲得係統(SYSTEM)權限。我們已經證實該公開漏洞利用代碼對64位 Windows 10 和 Windows Server 2016 係統有效。該公開可用的漏洞利用程序源代碼經修改後也可能適用於其他Windows版本。

從該漏洞說明來看，CERT目前並未發現實際解決方案。

安全研究員 Kevin Beaumont 在DoublePulsar上解釋了該漏洞利用程序的局限性，並描述了利用該漏洞的其他方法。他還在GitHub上貼出了漏洞代碼以方便分析。

如何在自身係統上檢測該漏洞利用

“

如果使用微軟Sysmon工具，查找spoolsv.exe產出異常進程的情況，這是該漏洞利用(或另一個Spooler漏洞利用)正在執行的確切跡象。同樣是用Sysmon，查找connhost.exe(任務計劃)產生異常進程(例如後台打印程序)的情況。

切實修複應出自微軟。微軟發言人已表示“將盡快主動更新受影響係統。”PoC代碼就在網上掛著，而下一次周二補丁日還有兩周才到來，攻擊者有相當長的窗口期可以對目標的Windows主機下手。

隨著這一最新Windows操作係統漏洞的披露，IT人員需特別注意其網絡用戶的行為。SandboxEscaper“研究員”在推特上發布的PoC，給了惡意攻擊者入侵公司企業盜取有價值信息的有利條件。

應持續應用網絡流量分析來檢測進出網絡的異常流量，並標記用戶異於往常的行為表現。此類異常行為就是有人正利用該漏洞提升自身權限的顯著指標。我們不得不等待微軟的響應，但如果直到既定的9月11號周二補丁日之前都沒有任何緩解措施發布，黑客將有2周之久的窗口期可供利用該漏洞。

漏洞的利用方法原文鏈接：

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f)