不負責爆料?研究人員揭露還沒有修補程式的Windows 工作排程器零時差漏洞
一名研究人員在沒有通報微軟的情況下,就透過推特公佈了微軟工作排程器(task scheduler)一項權限升級的零時差攻擊漏洞,以及PoC攻擊程式碼。
名為SandboxEscaper的研究人員並未說明任何漏洞細節,只說是零時差漏洞,而他也未通報微軟,但是卻在GitHub公佈了概念驗證(PoC)攻擊程式。CERT/CC工程師Will Dormann隨後證實了漏洞的存在。
這項漏洞是一項本機權限升級漏洞,出在Windows工作排程中的進階本機程序呼叫(Advanced Local Procedure Call,ALPC)介面上。ALPC是Windows的IPC 機制能讓使用者在執行數個應用程式的時候,還可以互相交換資料,同一個OS的用戶端程序可以要求伺服器程序提供資訊或執行某個作業。Dromann指出該漏洞能允許本機用戶取得系統管理員權限。
另外,CERT也證實這名研究人員公佈的PoC攻擊程式對修補完成的64-bit Windows 10及Windows Server 2016系統發生作用。更糟的是,目前本漏洞尚無有效的解決方案及修補程式。也就是說目前64-bit Windows機器都有被駭風險。
微軟對The Register表示該公司正儘速研究並提供緩解的建議。微軟下次安全更新發佈時間為9月11日。
前資安研究員在推特公開未知漏洞,後續效應有待觀察
一般而言,資安研究員若是發現到軟體的弱點,會先行通報廠商,讓廠商能進行相關的修補作業,待完成並提供更新檔案後,資安研究員才會公開揭露他們發現的細節,減少弱點遭到大肆濫用的可能。不過,最近有名前漏洞研究員,以推特帳號SandboxEscaper發表一篇貼文,將研究結果直接公開,表示她發現了一個Windows零時差漏洞,並在GitHub上提供了概念性驗證用的攻擊程式,隨後,美國電腦網路危機處理暨協調中心(CERT/CC)弱點分析師Will Dormann,也依循SandboxEscaper推文的資料,證實了這個弱點的存在。不過,截至目前為止,微軟還沒有提供任何的修補軟體。
依據正常的軟體漏洞通報流程,一般民眾可能會經由特定的通報平臺,而資安研究團隊會直接聯繫軟體開發廠商,經由廠商與通報者多次的確認、驗證,並等待廠商修補完成之後,才會完全公布漏洞的細節。然而,像前述直接在社群網站上公開的做法,便會讓這些軟體的弱點,成為有心人士可能濫用的目標。
漏洞通報管道多元,但難防有人直接在社群網站上公開
在臺灣,目前可提供漏洞通報的平臺,包含了HITCON ZeroDay,以及臺灣電腦網路危機處理暨協調中心(TWCERT/CC)等,鼓勵研究人員能夠提供他們找到的弱點,用來減少漏洞被濫用的機會。而不少科技公司為了改良自家的產品或服務平臺,像是微軟、Google、蘋果、臉書,甚至是臺灣人常用的Line,它們也提供了抓漏懸賞計畫。然而,SandboxEscaper不只直接在推特上公開前述的漏洞,甚至表明不打算將相關資訊交給微軟,雖然這名研究員的動機不明,但是上述的做法,已經讓執行Windows作業系統的電腦,暴露在該漏洞所造成的風險之中。
這個被公開的漏洞,可讓有心人士利用工作排程器,並且讓本地端處理程序進階通訊(Advanced Local Procedure Call,ALPC)介面發生錯誤,進而提升存取權限。
美國電腦網路危機處理暨協調中心弱點分析師Will Dormann,則依據推文提供的資料進一步驗證,這個漏洞影響Windows 10與Windows Server 2016,並將這個漏洞登錄到CERT,並給予CVSS指標6.4至6.8分,就弱點本身的層面而言,風險程度算是中等(高風險為7分以上)。但真正的問題是,SandboxEscaper直接公開有關細節後,在微軟尚未提供任何修正檔案的空窗期之前,該漏洞可能會遭到濫用。此外,SandboxEscaper在自己的部落格上,也列出她曾發現的漏洞清單,其中,包含了一個Windows 10 LPE弱點的CVE-2018-8440,是否就是表示這次所揭露的弱點,已受到CVE列管,這名前研究員並未證實。
目前為止,微軟尚未提供相關的修補程式,因此許多外媒向微軟確認後,該公司表明會在9月份例行的修補星期二(9月11日),才推出有關的更新軟體。不過,資安公司的Acros Security,宣稱他們旗下的0patch零時差漏洞修補平臺,在揭露的24小時後,推出相關的微修補檔案預覽版本,可供應急。
附帶一提的是,雖然SandboxEscaper這樣直接公開漏洞的行為並不可取,但由於她的推文帶有自暴自棄的內容,加上前幾天(24日)在自己部落格中,這名研究員也表明想求職,因此在這篇推文中,不只多位研究員回報成功驗證,也有許多人推文幫她打氣,鼓勵她勇於參與廠商的抓漏獎勵計畫。
