Windowsのゼロデイ脆弱性が再びTwitterで公表される 28
ストーリー by headless
削除 部門より
削除 部門より
Windowsの新たなゼロデイ脆弱性が再びTwitterで公表された。Twitterでは8月にタスクスケジューラーのゼロデイ脆弱性が公表されているが、今回も同じTwitterユーザー(@SandboxEscaper)によるものだ(Bleeping Computerの記事、
Ars Technicaの記事、
On MSFTの記事、
PoC)。
今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。
ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。
なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。
今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。
ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。
なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。
被害数は? (スコア:1)
ゼロでい
Re:被害数は? (スコア:2, すばらしい洞察)
実際、このレベルを脆弱性と言い出すと、「サーバーの設定を適切にしてないと攻撃による被害が発生する脆弱性」が殆どのサーバー向けOSにある、みたいな話に行き着くと思う。
Re: (スコア:0)
1000円盗めば泥棒だけれど、1円盗むのは泥棒ではない、とかそんな感じ?
Re: (スコア:0)
はあ?
Re: (スコア:0)
いやどう読んでも逆でしょ。
どんな強固なATMも、いったん重機で運んでしまえばいいようなもの。
公開は github 上ですが? (スコア:0)
こーゆーのも 「Twitterで公表」っていうんかい?
Re:公開は github 上ですが? (スコア:1)
Microsoft傘下の謎の設計図共有サイトですね。
Re: (スコア:0)
GitHubアップロード物にはMicrosoftはノータッチなんですかね?
Re: (スコア:0)
ビビるくらいに公平だな
買収して日も浅いし検閲しても費用に見合うだけのメリットがないからだろうけど
Re: (スコア:0)
リポジトリーが脱出不可能な独自形式ならもっと強硬策が取れたかもしれないがGitじゃねえ
Re: (スコア:0)
Twitterで「発表」したら即「公表」となるのかどうかはフォロワー数次第なんだろうか
新聞に告示しても新聞そのもの販売実数が少ないと「公表」にならんのだろうか とかいろいろ考えさらえる
ダウンロードしようとしたら (スコア:0)
githubでダウンロードしようとしたら、Windows Defenderによってブロックされた
暫定対処は? (スコア:0)
試しにData Sharing Serviceを無効化して通常使用
および再起動した後に通常使用してみたが
ならんら不都合は起こらんかった
# 最近はさらに不具合立て込んでイベントビュアの警告元の切り分けに忙しい
Re: (スコア:0)
Data Sharing ServiceってData Sharing Serviceに依存したアプリケーションを起動していない限りデフォルトで起動されていないはずだが?
Re: (スコア:0)
Data Sharing ServiceってData Sharing Serviceに依存したアプリケーションを起動していない限りデフォルトで起動されていないはずだが?
Windowsのサービスにおいて起動禁止は無効のみです
何によって要求されるか全てが既知がでない限り
無効にした際の不都合は検証してみないとわからないのです
・自動:OS起動時に実行
・自動(延滞):OS起動後に処理が落ち着いてから実行
・手動:オンデマンドで実行
・無効:実行拒否
さすが「Windows史上、最もセキュアなOS」 (スコア:0)
こいついつも問題起こしてんな
Re: (スコア:0)
1803も酷かったが、1809はもっと酷いよね…。
何よりも1809は、リリースして3日ほどで停止。
1511のころにも、同じようなことはあったが。
Windows自体が巨大なスパゲティコードだし。
マイクロソフト自身も手に負えなくなってる。
弄れば弄るほどバグが増え、救いようがない。
そろそろ、一から作り直した方がいいかもね。
Re: (スコア:0)
>Windows自体が巨大なスパゲティコードだし。
>マイクロソフト自身も手に負えなくなってる。
みた?
なかのひと?
言える範囲でコードについて解説求む!
Re: (スコア:0)
見たことあるならお前そっち側の人間じゃん、ってことだな。
Re: (スコア:0)
バグばっか入れ込んでレイオフされた張本人だったりして。
Re: (スコア:0)
こないだのOneDriveバグ張本人だったりして
Re: (スコア:0)
「Windows 10」のソースコードの一部が流出、Microsoftも認める
https://gigazine.net/news/20170626-windows-10-source-code-leaked/ [gigazine.net]
これを手に入れたんでしょうか。
Re: (スコア:0)
公開はしてないけど、特定の相手に開示はしてるでしょ。ググればいくらでも出てくる。
Re: (スコア:0)
>Windows自体が巨大なスパゲティコードだし。
神より与えられしものである。
#ラーメン
Re: (スコア:0)
風説の流布ってやつか
Re: (スコア:0)
セキュアってバグがゼロってことじゃないと思うけどな
Re: (スコア:0)
こいついつも問題起こしてんな
トラブルシューティングで飯食ってる獅子身中の虫がいるんじゃないかなぁ
# もしくは朝令暮改
Re: (スコア:0)
だからと言って、コンピュータ業界以外の人たちは完璧なシステムなんて存在しないとは一切思っていないわけで。
宣伝文句は他者との比較や悪口ばっかりなのに、説明不足だよ。