Дыра в рекламной функции Windows позволяет красть конфиденциальные данные. Видео

Копируйте все и везде Исследовательницавопросов кибербезопасности, известная под никнеймом SandboxEscaper, опубликовала информацию уже о третьей за четырепоследних месяца уязвимости нулевого дня в Microsoft Windows, и эксплойт к ней. Уязвимость позволяет читатьсодержимое любого файла с системными привилегиями. Теперь исследовательницегрозят неприятности с ФБР. Уязвимость сама по себесодержится в функции MsiAdvertiseProduct. Согласно ее описанию, эта функция «генерируетрекламный скрипт или рекламирует продукт конкретному компьютеру; позволяетустановщику вписывать в скрипт информацию для системного реестра и ярлыка,используемого для обозначения или публикации продукта». Как пояснилаисследовательница, вызов этой функции приводит к копированию произвольногофайла службой установки, а саму эту службу может контролировать злоумышленник.Средства проверки можно обойти из-за ошибки типа «время проверки — времяиспользования» (TOCTOU). В результате любой файл ссистемными привилегиями (SYSTEM) можно скопировать в общедоступную область. Использование обнаруженного бага «Самый простой способпроверить наличие бага — это создать два локальных аккаунта и прочитатьсодержимое desktop.ini одногоиз них из-под другого», — написала исследовательница. Исполнительный директоркомпании Acros Security и основатель платформы oPatch, распространяющейвременные микропатчи для новых уязвимостей, Митя Кольшек (Mitja Kolsek) подтвердил работоспособность эксплойтаи пообещал разработать временный патч еще до рождественских выходных. «Это довольно опаснаяошибка, которая может быть использована для кражи конфиденциальных данных, —полагает Олег Галушкин, директор поинформационной безопасности компании SECConsultServices. — К сожалению, исследовательница предпочитает неследовать общепринятой процедуре раскрытия подобных уязвимостей, и неуведомлять разработчика до публикации эксплойта. В этом плане она действовалане в интересах простых пользователей. Третий рецидив SandboxEscaper уже в третий раз публикует информацию об уязвимости нулевого дня в Windows и эксплойт к ней, непредупреждая об этом Microsoft. После публикации вавгусте 2018 г. информации о баге в планировщике заданий Windows исследовательница лишилась доступа к своемуаккаунту в GitHub и прямо обвинила в этом разработчика операционной системы. Теперь же ее, похоже,ждут неприятности с ФБР: она опубликовала сообщение, в котором ее информируют озапросе, поступившем в Google от имени Федерального бюро расследований в связис неким возбужденным делом. Что это за дело,неизвестно, но это может быть никак не связано с публикацией эксплойтов:некоторое время назад SandboxExplorer опубликовала твит с угрозами президенту США Дональду Трампу (Donald Trump). Твитбыл вскоре удален, но он вполне мог попасть в поле зрения ревнивых сторонников Трампа иправоохранительных органов. Собственный аккаунт SandboxEscaper сейчасзаморожен. Ссылка на источник