Заплатку для 0-day в Windows выпустила сторонняя компания
Компания Acros Security выпустила исправление для уязвимости нулевого дня в операционной системе Windows 10. Брешь обнаружила ИБ-исследовательница, известная в Сети под псевдонимом SandboxEscaper, в конце декабря, однако Microsoft не закрыла ее в январском пакете обновлений. Второй баг, также найденный аналитиком в последний месяц 2018 года, пока не исправили ни вендор, ни сторонние специалисты.
Описание уязвимости, получившей название AngryPolarBearBug, SandboxEscaper опубликовала 27 декабря. Баг допускает перезапись целевых файлов произвольным набором данных. Исследовательница выложила на GitHub эксплойт, который заменяет содержимое системного файла pci.sys сведениями из журнала ошибок Windows Error Reporting (WER) и вызывает отказ в обслуживании. PoC работает не на всех версиях ОС, однако ИБ-эксперты подтвердили, что злоумышленники могут использовать его в реальных атаках.
Специалисты из Acros Security подготовили заплатку для AngryPolarBearBug на базе своей утилиты 0patch, которая представляет собой Windows-агент, получающий микропатчи через Интернет с сервера разработчика. Как отмечают эксперты, исправления внедряются в уже запущенный процесс и не требуют перезагрузки системы или уязвимого приложения. Программа устраняет проблему только в 64-битной версии Windows 10 релиза 1038, однако ИБ-специалисты готовы по запросу пользователей разработать апдейт и для других вариантов ОС.
Помимо этой уязвимости, SandboxEscaper в декабре обнаружила брешь нулевого дня, которая дает возможность пользователю с низкими привилегиями скопировать любые файлы в доступную ему папку. Как выяснила исследовательница, через этот баг киберпреступник может прочитать любой объект операционной системы, обладая лишь информацией о его расположении. В качестве подтверждения SanboxEscaper выложила в сеть PoC, копирующий системные файлы из закрытых каталогов.
Эту уязвимость Microsoft также не закрыла в январском комплекте патчей. Несмотря на то что случаев эксплуатации бага в дикой природе пока не было, Acros Security обещают вскоре добавить в свою утилиту заплатку и для него.
Update. Временный патч для бага повышения привилегий, позволяющего читать любые файлы на Windows, тоже готов. Пользователи 64-битных Windows 10 версии 1803 и Windows 7 могут установить его через утилиту 0patch компании Acros, портирование на другие ОС Microsoft специалисты производят по запросу.
Источник: https://threatpost.ru/windows-0day-patched-by-third-party/30640/