سوءاستفاده از یک آسیب‌پذیری روزصفر در تابع MsiAdvertiseProduct سیستم عامل Windows

۱۶ دی ۱۳۹۷ | ۱۴:۲۱ کد : ۷۱۸۲ اخبار حوزه امنیت فناوری اطلاعات
تعداد بازدید:۳۴۸
۲۹ آذر ماه، هکری با شناسه SandboxEscaper نمونه بهره‌جویی (PoC) را منتشر کرد که از یک آسیب‌پذیری روز-صفر در تابع MsiAdvertiseProduct سیستم عامل Windows سوءاستفاده می‌کند.

مهاجم با بهره‌جویی از آسیب‌پذیری مذکور قادر به خواندن فایل‌های حفاظت‌شده توسط فهرست کنترل دسترسی (Access Control List) در سطح سیستم فایل خواهد بود. MsiAdvertiseProduct تابعی در Windows است که به برنامه امکان اعمال تغییرات در Registry و انتشار محصول بر روی دستگاه را فراهم می‌کند. به گفته SandboxEscaper به دلیل عدم پالایش صحیح ورودی‌ها به این تابع، خواندن هر فایل سیستمی نیز از طریق آن ممکن شده است. کدهای نمونه بهره‌جو نیز اگر چه برای مدتی بر روی حساب SandboxEscaper در GitHub قابل دسترس بودند اما پس از مدتی دسترسی به حساب مذکور به‌طور کامل مسدود شد SandboxEscaper مایکروسافت را عامل این مسدودسازی می‌داند. با توجه به لزوم فراهم بودن دسترسی مهاجم به دستگاه قربانی و همچنین نظر به عدم تخصیص شناسه Common Vulnerabilities and Exposures تا کنون انتظار نمی‌رود که مایکروسافت تا قبل از ۱۸ دی ماه (سه‌شنبه دوم ماه ژانویه) اقدام به عرضه اصلاحیه‌ای برای ترمیم آن کند.

کلید واژه ها: SandboxEscaper


نظر شما :

توجه! لطفا دیدگاه خود پیرامون این مطلب را در این قسمت درج نمایید و برای ارسال سایر درخواست ها و پیام ها به بخش تماس با ما مراجعه فرمایید.