Reading Time: 3 minutes
Vulnerabilidade zero-day ‘Deletetbug’ permite escalonamento de privilégios no Windows.

Foi disponibilizado um exploit para uma vulnerabilidade zero-day do Windows que funciona em máquinas Windows 10 totalmente patched. O exploit foi libertado por um investigador de segurança e permite excluir qualquer ficheiro da máquina da vítima, incluindo dados do sistema.

A falha não foi atribuída a nenhum CVE desde que foi exposto na quarta-feira. Ela é uma vulnerabilidade de dia zero com elevação de privilégio no Microsoft’s Data Sharing Service (dssvc.dll).

Este é um serviço local; que é executado como uma conta LocalSystem com privilégios abrangentes; permite que os dados sejam intermediados entre aplicações.

De acordo com a SandboxEscaper, este bug permite que um atacante exlua qualquer ficheiro DLL da máquina da vítima e permite até o upload de DLLs maliciosos.

According to SandboxEscaper, who released the PoC, the bug allows an adversary to delete application libraries (DLL files) – which means that the affected applications will then go look for their libraries elsewhere. If an application finds its way to a user-writeable location, it gives an attacker an opportunity to upload his or her own malicious library, resulting in machine compromise.

 

Esta vulnerabilidade pode abrir a porta para um grande números de explorações e atividades ilícitas. Pode facilitar movimento lateral dentro de uma infraestrutura, e o risco associado é destrutivo.

Na POC released pela SandboxEscaper, um programa chamado “Deletebug.exe” tem a capacidade de eliminar um ficheiro do sistema pci.sys no computador alvo, o que significa que a vítima não irá mais conseguir reniciá-lo. A máquina é renderizada como não inicializável.

“What the proof-of-concept does, in simple terms, is it calls [the] function in Data Sharing Service, telling it to perform an operation on file pci.sys in some temporary folder and waits for this file to get created, then it promptly remaps said file to pci.sys in the system folder (where the user wouldn’t be able to delete it),” Kolsec explained. “As a result, the system file gets deleted.”

 

Will Dormann, analista de vulnerabilidades do CERT / CC, e Kolsec confirmaram a vulnerabilidade e foram capazes de explorá-la em máquinas totalmente atualizadas a rodar o Windows 10. Através do Twitter, Dormann acrescentou que o Data Sharing Service não parece estar presente nos sistemas Windows 8.1 e anteriores.

O investigador Kevin Beaumont confirmou que o exploit funcionava apenas com “Windows 10 e Server 2016 (e 2019)”.

Researcher Kevin Beaumont confirmed the exploit as working on “Windows 10 and Server 2016 (and 2019) only.” He added that it “allows non-admins to delete any file by abusing a new Windows service not checking permissions again.”

“It reportedly affects the very latest versions of Microsoft operating systems and not older ones, so users may have wrongly assumed they were more secure,” said Parsons. “In addition, given that it affects both server and client operating systems, and with Windows 10 the second-most prevalent MS desktop/client OS after Windows 7, will also make this attractive to attackers.”

 

“Even with access to the target machine, “so far we haven’t found a generic way to exploit this for arbitrary code-execution (bricking the machine is trivial),” Kolsec told Threatpost. “If a non-admin local attacker can write to any folder in the PATH environment variable (which would almost surely already be a security issue by itself), they could delete a DLL and plant a malicious copy there to get it executed the next time some privileged process needs it. However, I expect better attack vectors will likely be found.” 

 

Beaumont também ponderou sobre a capacidade de exploração, observando que a exploração significativa levaria algum trabalho:

 

Embora a Microsoft ainda não tenha comentado sobre o bug, o micropatch da 0Patch “bloqueia com sucesso a exploração negando o acesso à chamada DeleteFileW… a operação Excluir agora recebe um“ ACCESS DENIED ”devido à sua representação.”

 

Este investigador “SandboxEscaper” também já havia divulgado uma zero-day em agosto que causou sérios problemas com o Scheduller Taks do Windows. A Microsoft corrigiu o problema no Patch Tuesday de setembro.