【漏洞预警】Windows任意文件读取0day漏洞处置手册

预警编号:NS-2018-0041

2018-12-21

1

漏洞概述

近日，国外安全研究员 SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个windows 0 day漏洞。此次披露的漏洞可造成任意文件读取。该漏洞可允许低权限用户或恶意程序读取目标Windows主机上任意文件的内容，但不可对文件进行写入操作。在微软官方补丁发布之前，所有windows用户都将受此漏洞影响。

目前该作者的推特账号已被冻结，Github账号已被封禁，但目前该漏洞PoC已公开，请相关用户引起关注。

参考链接：

https://thehackernews.com/2018/12/windows-zero-day-exploit.html

SEE MORE →

2影响范围

所有Windows系统。

3PoC排查

用户可以使用漏洞验证工具自行排查，详细验证过程可参考下面的视频：

漏洞验证工具可到下面的链接下载：

https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意文件读取漏洞排查工具.zip

4防护建议

该漏洞不能远程利用，因此想要触发该漏洞，需在目标主机上运行漏洞利用程序，截止本通告发布日期，微软官网仍未发布修复补丁，请用户及时持续关注官方的修复公告。

为防止攻击者利用该漏洞读取本地的敏感信息，请谨慎运行来源不明的文件，及时安装杀毒软件，并实时监控攻击者的入侵行为，攻击者常见的攻击手段如下图所示：

根据攻击者的常用手段，可重点关注具有以下特征的告警：

• 若同一来源IP地址触发多条告警，若触发告警时间较短，判断可能为扫描行为，若告警事件的协议摘要中存在部分探测验证payload，则确认为漏洞扫描行为，若协议摘要中出现具有攻击性的payload，则确认为利用漏洞执行恶意代码。
• 若告警事件为服务认证错误，且错误次数较多，认证错误间隔较小，且IP地址为同一IP地址，则判断为暴力破解事件；若错误次数较少，但超出正常认证错误频率，则判断为攻击者手工尝试弱口令。
• 若内网监测发现木马通信告警，则认为服务器确认已被攻陷。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。