Windowsのゼロデイ脆弱性が再びTwitterで公表される 28
削除 部門より
今回の脆弱性はWindows 10(およびServer 2016以降)のData Sharing Serviceに存在し、関数「RpcDSSMoveFromSharedFile」を呼び出すことで権限のないユーザーが任意のファイルを削除できるというものだ。GitHubで公開されているPoCではpci.dllの削除が指定されており、実行するとWindowsが起動できなくなる。手元の環境では、24日にリリースされたばかりのWindows 10 Insider Preview ビルド18267(19H1)でも削除されることが確認できた。
ただし、削除のタイミングが難しいとのことで、PoCでは処理をループさせているが、状況によっては削除できないこともあるようだ。悪用の方法としてはDLLなどを削除してパスの通った別の場所に格納した同名ファイルを読み込ませるDLLハイジャックが提示されているものの、こちらも現実的に実行するのは難しそうだ。そのため、タスクスケジューラーのゼロデイ脆弱性の時とは異なり、PoCのソースコードが攻撃に転用される可能性は低いとみられている。
なお、既にMicrosoft EdgeやInternet ExplorerではPoCのアーカイブのダウンロードをブロックするようになっており、ChromeやFirefoxも警告を表示する。また、PoCの実行ファイルはWindows Defenderウイルス対策などのセキュリティソフトウェアの最新定義ファイルでマルウェアとして検出される。