漏洞背景
据mspoweruser报道,日前,一名研究人员在Twitter上公布了微软Windows 10的一个新的零日漏洞,不过,现在相关推文已经删除。
影响
这个零日漏洞主要存在于Windows 10系统当中,黑客一旦掌握了该漏洞,将在用户的PC上获得系统级别权限,能够运行任何应用程序。但由于高级本地过程调用(ALPC)接口是本地系统,因此漏洞的影响受到限制,CVSS评分为6.4到6.8,但研究人员发布的PoC漏洞可能有助于恶意软件作者针对Windows用户。
漏洞详情
报道称,该漏洞是一个系统本地漏洞,相关程序需要运行在PC本地。并且这个漏洞还涉及Windows任务调度程序。
目前,CERT已经确认了这枚漏洞,并报告如下:”说明Microsoft Windows任务计划程序包含处理ALPC的漏洞,该漏洞可允许本地用户获得SYSTEM权限。影响本地用户可能能够获得提升(SYSTEM)权限。解决方案CERT / CC目前还没有意识到这个问题的实际解决方案。“
微软可能会在其下周二的安全补丁(周二定于9月11日)修补漏洞。
那如何从自身系统上检测该漏洞利用呢?“如果使用微软Sysmon工具,查找spoolsv.exe产出异常进程的情况,这是该漏洞利用(或另一个Spooler漏洞利用)正在执行的确切迹象。同样是用Sysmon,查找connhost.exe(任务计划)产生异常进程(例如后台打印程序)的情况。”
随着新的零日漏洞的披露,IT人员应该注意网络用户的行为,分析检测进出网络的异常流量,并标记用户异于往常的行为表现,做到防患于未然。
留言与评论(共有 0 条评论) |