安全研究人员在推特上公布了 Windows 操作系统中的一个漏洞详情。
该漏洞是一个“本地权限提升”问题,可导致攻击者将恶意代码的访问权限从有限的 USER 角色提升至完全访问 SYSTEM 账户。
CERT/CC 的工程师 Will Dormann 已证实该漏洞存在并在前天晚上发布 CERT/CC 官方警告。
Dormann 指出,漏洞存在于 Windows 任务调度程序中,更确切地说存在于高级本地程序呼叫 (ALPC) 接口中。
ALPC 接口是一个 Windows 内部机制,是进程间通信系统。ALPC 能让客户端进程在操作系统中运行,要求程序进程在同样的操作系统中运行,从而提供某些信息或执行某种动作。
这名研究人员的网络昵称是 SandboxEscaper,他在 GitHub 上发布了 PoC 代码(https://github.com/SandboxEscaper/randomrepo/blob/master/PoC-LPE.rar),它可用于利用 ALPC 接口获取 Windows 系统的系统权限。
恶意软件作者对这个 PoC 尤为感兴趣,因为它可导致良性恶意软件使用比很多现有方法更加可靠的方法获取对目标系统的管理员访问权限。
SandboxEscaper 已经问题告知微软,这说明该缺陷的补丁尚未推出。目前,所有 Windows 64位用户易受攻击。
微软的下次安全更新计划于9月11日的“补丁星期二”发布。