Брешь Deletebug позволяет вывести из строя Windows

Опубликован PoC-эксплойт к новой уязвимости нулевого дня в Windows. Он работает на полностью пропатченных ПК Windows 10 и позволяет удалить любой файл, в том числе с системными данными.

Новая проблема, которой пока не присвоен CVE-идентификатор, представляет собой баг повышения привилегий, который кроется в Data Sharing Service (dssvc.dll). Эта служба, работающая под аккаунтом LocalSystem с широкими привилегиями, обеспечивает совместный доступ приложений к данным.

Со слов исследователя SandboxEscaper, опубликовавшего PoC-код, найденная им уязвимость 0-day открывает возможность для удаления библиотек приложений (файлов DLL). В этом случае затронутая программа начинает искать библиотеку в других местах, в том числе там, где пользователю разрешен доступ на запись. Это хороший шанс для автора атаки: он сможет загрузить вредоносную библиотеку и скомпрометировать систему.

«Эксплойт облегчит дальнейшее продвижение по сети и даже выполнение деструктивных действий, — таких как удаление ключевых системных файлов, после чего система перестанет функционировать», — пояснил в письменном виде Том Парсонс (Tom Parsons), руководитель исследований в Tenable.

В результате PoC-атаки, предложенной SandboxEscaper, программа, которую он назвал Deletebug.exe, удаляет системный файл pci.sys, после чего пользователь больше не сможет запустить Windows.

Наличие уязвимости подтвердили эксперт CERT/CC Уилл Дорман (Will Dormann) и исполнительный директор Acros Security Митя Колсек (Mitja Kolsek). Обоим удалось успешно применить эксплойт на полностью пропатченной и обновленной Windows 10. Согласно твиту Дормана, на Windows 8.1 и ниже служба Data Sharing отсутствует.

Исследователь Кевин Бомон (Kevin Beaumont) удостоверился, что эксплойт работает на Windows 10, а также Windows Server 2016 и 2019. По его словам, уязвимость «позволяет, не имея прав администратора, удалить любой файл посредством использования новой службы Windows, не проверяющей разрешения».

Стоит отметить, что публикация SandboxEscaper вряд ли вызовет всплеск эксплойт-активности: атор находки предупредил, что баг «низкокачественный», а его использование — «тот еще гемор».

Корпорация Microsoft находку пока не прокомментировала, а команда 0patch из Acros выпустила микропатч, который, по ее словам, успешно блокирует эксплойт.

Псевдоним SandboxEscaper уже известен читателям: в августе баг-хантер опубликовал через Twitter другую уязвимость нулевого дня в Windows. Она крылась в Планировщике заданий и была устранена в рамках сентябрьского «вторника патчей».