요약
- Sandboxescaper 발표 (3번째 제로데이 발표)
- 취약점 : 임의의 파일 읽기 취약점으로 권한이 낮은 사용자 또는 악성 프로그램이 관리자 권한으로만 읽을 수 있는 파일들을 읽을 수 있음.
‘MsiAdvertiseProduct’ 함수에 취약점 존재
(*MsiAdvertiseProduct: 광고 스크립트, 제품 광고를 컴퓨터에 생성하거나 인스트롤러로 레지스트리에 스크립트와 제품에 할당되는 바로가기 정보를 만듦) 설치 서비스를 이용해 SYSTEM 권한으로 어떤 파일이든지 복사가 가능하고 읽기가 가능함.
- 취약원인 : 부적절한 검증
*첫번째 제로데이 코드를 Microsoft에 알리지 않은 채로 공개해 Github 계정 접근 권한을 잃음.
*FBI의 소환장에 따라 구글이 Sandboxescaper의 계정 정보를 제공함(제로데이 코드를 무단 배포한 것과 관련이 있거나 혹은 트위터에 미국 대통령을 위협한 것 때문이라는 추측만 무성)
관련 CVE정보
- 현재(2018 12.21 10:40) 없음
- PoC : 개시 후 Github 계정이 블락된 상태
- 재현 동영상 : https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
참고자료
Sandboxescaper 블로그: https://sandboxescaper.blogspot.com/2018/12/readfile-0day.html
출처: https://thehackernews.com/2018/12/windows-zero-day-exploit.html
https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/
'Vulnerability' 카테고리의 다른 글
| [2018.12.26] WibuKey DRM 커널 레벨 원격 코드 실행 취약점 (CVE-2018-3991) (0) | 2019.03.15 |
|---|---|
| [2018.12.24] ThinkPHP 원격 코드 실행 취약점 이용 중국 웹사이트 공격 기승 (0) | 2019.03.15 |
| [2018.12.20] Cisco Adaptive Security Appliance(ASA) 소프트웨어 권한 상승 취약점(CVE-2018-15465) (0) | 2019.03.15 |
| [2018.12.20] Internet Explorer 제로데이 긴급 보안 패치 (0) | 2019.03.14 |
| [2018.12.18] U.S. 탄도 미사일 방어 시스템 보안에 취약 (0) | 2019.03.14 |