1、基本情况
最新的win10x64版存在任意文件删除漏洞,经验证,攻击者利用该漏洞可造成任意文件删除。
2、攻击原理
该漏洞的原因在于win10系统的数据共享服务(dssvc.dll)中有alpc的调用接口,该接口导出了RpcDSSMoveFromSharedFile函数,该函数正是本次漏洞利用到的函数。该函数的原型如下:
当任意权限的用户调用该函数时,该函数会将第三个参数所代表的文件进行删除。在这之前,会通过CreateMountPoint函数建立两个文件夹的软链接,如图:
并删除该目录下的特定文件,从而将所链接目录下的文件一并删除。
3、影响范围
Windows 10 x64 最新版
4、处置建议
目前微软官方尚未对此漏洞进行修复,请用户随时关注微软公告,及时更新补丁;
用户在日常操作时,谨慎执行未经审核来源的程序。
5、 参考链接
https://thehackernews.com/2018/10/windows-zero-day-exploit.html
https://github.com/SandboxEscaper/randomrepo