Windows任意文件讀取0 day漏洞怎么防護

這篇文章給大家分享的是有關Windows任意文件讀取0 day漏洞怎么防護的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

漏洞概述：

國外安全研究員SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞細節及PoC。這是2018年8月開始該研究員公布的第三個windows0 day漏洞。此次披露的漏洞可造成任意文件讀取。該漏洞可允許低權限用戶或惡意程序讀取目標Windows主機上任意文件的內容，但不可對文件進行寫入操作。在微軟官方補丁發布之前，所有windows用戶都將受此漏洞影響。

目前該作者的推特賬號已被凍結，Github賬號已被封禁，但目前該漏洞PoC已公開，請相關用戶引起關注。

漏洞原理：

該漏洞在“MsiAdvertise.”中調用此函數將導致安裝程序服務復制文件。這將把可以用第一個參數控制的任意文件復制到c:windows\installer……在模擬時完成檢查，但是使用連接仍然有一個TOCTOU。這意味著我們可以將它復制為SYSTEM的任何文件，并且目標文件總是可讀的。這會導致任意文件讀取漏洞。

影響范圍：

所有Windows版本

復現思路：

1.  在同一臺Windows主機上創建兩個用戶，一個是管理員組的test，另一個是普通用戶組的bmjoker

2.  在test（管理員組）目錄下創建文件

3.  登錄bmjoker（普通用戶組）賬戶，利用作者的poc讀取test（管理員）目錄下的文件

漏洞POC下載鏈接：https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意文件讀取漏洞排查工具.zip

漏洞復現：

環境：Windows 10

首先用管理員身份創建兩個測試用戶test（管理員組）和bmjoker（普通用戶組）

可以看到兩個用戶創建成功

登錄test用戶，在桌面上創建1.txt文件

為了測試是否可以跨目錄任意文件讀取，在C盤下創建2.txt

然后登錄bmjoker用戶，利用作者的POC嘗試讀取管理員賬戶下的文件

可以看到已成功讀取1.txt

 嘗試跨目錄讀取任意文件

成功讀取C盤下的文件。

由于該漏洞利用的是TOCTOU這種方式，在POC運行時會不停的創建線程，故系統CPU占用會達到100%。

防護建議：

該漏洞不能遠程利用，因此想要觸發該漏洞，需在目標主機上運行漏洞利用程序，截止本通告發布，微軟官網仍未發布修復補丁，請用戶及時持續關注官方的修復公告。

為防止攻擊者利用該漏洞讀取本地的敏感信息，請謹慎運行來源不明的文件，及時安裝殺毒軟件，并實時監控攻擊者的入侵行為。

感謝各位的閱讀！關于“Windows任意文件讀取0 day漏洞怎么防護”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！