预警编号:NS-2018-0041
2018-12-21
TAG: | Windows、0day、任意文件读取 |
---|---|
危害等级: | 高,此漏洞可导致攻击者读取任意系统文件,PoC已公开。 |
版本: | 1.0 |
1
漏洞概述
近日,国外安全研究员 SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个windows 0 day漏洞。此次披露的漏洞可造成任意文件读取。该漏洞可允许低权限用户或恶意程序读取目标Windows主机上任意文件的内容,但不可对文件进行写入操作。在微软官方补丁发布之前,所有windows用户都将受此漏洞影响。
目前该作者的推特账号已被冻结,Github账号已被封禁,但目前该漏洞PoC已公开,请相关用户引起关注。
参考链接:
https://thehackernews.com/2018/12/windows-zero-day-exploit.html
SEE MORE →
2影响范围
所有Windows系统。
3PoC排查
用户可以使用漏洞验证工具自行排查,详细验证过程可参考下面的视频:
漏洞验证工具可到下面的链接下载:
https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意文件读取漏洞排查工具.zip
4防护建议
该漏洞不能远程利用,因此想要触发该漏洞,需在目标主机上运行漏洞利用程序,截止本通告发布日期,微软官网仍未发布修复补丁,请用户及时持续关注官方的修复公告。
为防止攻击者利用该漏洞读取本地的敏感信息,请谨慎运行来源不明的文件,及时安装杀毒软件,并实时监控攻击者的入侵行为,攻击者常见的攻击手段如下图所示:
根据攻击者的常用手段,可重点关注具有以下特征的告警:
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。