0day漏洞影響啟用 Sandbox 的多數 Windows 10 版本
最近逆向工程師在多數 Windows 10 版本中發現了一個0day 漏洞,可導致攻擊者在操作系統的受限區域創建文件。該漏洞易于利用,攻擊者在目標主機上實施初次感染后即可發動攻擊,不過它僅適用于啟用了 Hyper-V 功能的機器。
易遭利用的提權漏洞 逆向工程師展示說明了低權限用戶如何可以在‘system32’中創建任意文件。該區域是一個受限制的文件夾,托管著Windows 操作系統和已安裝軟件的重要文件。 不過只有在啟用 Hyper-V 的情況下該漏洞才可遭利用,由于該選項默認關閉且存在于 Windows 10 Pro、Enterprise 和 Education 版本中,因此攻擊面得到控制。 Hyper-V 是微軟在 Windows 10 創建虛擬機的解決方案。根據主機上可用的物理資源,它至少可以運行三個虛擬實例。鑒于硬件資源重組,Hyper-V能夠運行具有32個處理器和內存為512M的大型虛擬機。對于普通用戶而言,這個虛擬機的用戶可能不大,但他們可以運行 Windows Sandbox。該隔離環境是為了執行不受信任的程序或加載不受信任的網站,使得Windows 操作系統免遭感染。 微軟在Windows 10 版本1093于5月29日 Update 中引入 Windows Sandbox。開啟該功能會自動啟用 Hyper-V。
為了展示該漏洞,逆向工程師在 \system32 中創建了一個名為“phoneinfo.dll”的空文件夾。在這個位置做出的任何修改都要求權限提升,但如果啟用了 Hyper-V,則這些限制條件失去作用。
由于文件的創建人也是所有人,因此攻擊者可借此置入惡意代碼,在必要時以提升后的權限執行惡意代碼。 CERT/CC 漏洞分析師 Will Dormann 證實了該漏洞的存在,并表示攻擊者不費吹灰之力即可利用該漏洞。 逆向工程師指出,易受攻擊的組件是“storvsp.sys”(Storage VSP-Virtualization Service Porvider),它是一個服務器端 Hyper-V 組件。
