研究員未通報微軟就公開 Windows 10 漏洞,「現階段無解」殺的大眾措手不及!

【我們為什麼挑選這篇文章】通常資安人員或白帽駭客,在發現一個新的電腦漏洞時,都會先向廠商回報,待廠商修復後才公布相關的研究結果;然而,近日卻有一位資安研究人員沒有這麼做。

這位研究人員在網路上公開了一個 Windows 10 的零時差漏洞(尚未被人公開過的意思),還把攻擊工具放在 Github 上;最慘的是,現階段相關的攻擊並沒有解決方法,只能等待微軟於 9 月 11 日釋出更新檔修補,只能提醒大家在這段時間內使用電腦千萬要注意安全,並且在更新釋出後盡快更新,畢竟我相信大家都還記得,上次不更新時發生的勒索病毒大爆發事件。(責任編輯:林厚勳)

日前有保安研究人員在一部完全安裝 Windows 10 保安升級檔的電腦上,成功利用「Zero-day」零時差攻擊漏洞取得系統管理員級權限。這位人士在微軟未發表修補更新的情況下,就在 Twitter 公佈了這個漏洞,更在 GitHub 公佈了攻擊程式,恐怕有機會被駭客利用。

研究人員 Twitter 揭 Windows 10 漏洞

一位名為「SandboxEscaper」的保安研究人員日前在其 Twitter 帳戶上發出帖文,指在 Windows 的工作排程器的 Advanced Local Procedure Call(ALPC)界面中,發現本機用戶能獲得系統管理員權限的漏洞。

https://twitter.com/SandboxEscaper/status/1034125195148255235

漏洞目前無解法,微軟:9 月 11 更新將解決

美國電腦網路危機處理中心(CERT / CC)已確認了漏洞在 64 位元的 Windows 10 和 Windows Server 2016 的系統中存在。美國電腦網路危機處理中心分析師 Will Dorman 在 Twitter 發文指,在已安裝最新修正檔的 64 位元 Windows 10 系統內也發現相關漏洞。

他指在微軟發佈修補更新前,沒有阻止攻擊者利用漏洞的方法。

Microsoft 在回應《Tom’s hardware》的查詢時指,在 9 月 11 日(星期二)的更新中會提供解決方案。

美國電腦網路危機處理中心報告,圖片來源 : cnbeta。
▲ 美國電腦網路危機處理中心報告,圖片來源 : cnbeta。

外媒《Tom’s hardware》的編輯指,SandboxEscaper 應該曾向 Microsoft 匯報,但有不太好的經歷,才會選擇在 Twitter 公開。該編輯又指,如果黑市提出的價錢比程式生產商高很多,有些人會寧願把漏洞出售。

─ ─

(本文經合作夥伴 UNWIRE HK 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 研究員揭 Windows 10 權限漏洞 恐被黑客利用 〉,首圖來源:Photozou,CC Licensed。)

更多你該知道的資安訊息

以色列資安大廠 Check Point:面對「巨型網路攻擊」,台灣企業應積極佈署對應防護
【充電線別亂用】資安團隊公布暗黑駭客手法,病毒藏 USB 傳輸線一插電腦就中毒
資安 SOP 沒執行到位!台積電受變種 WannaCry 病毒入侵,2 天損失 52 億台幣
GDPR 成駭客勒索「神助攻」幫手:錢交出來,不然我就公開公司個資害你受罰


我們正在找夥伴!

2019 年我們的團隊正在大舉擴張,需要你的加入跟我們一起找出台灣創新原動力! 我們正在徵 《採訪社群編輯》、《助理編輯》,詳細職缺與應徵辦法 請點我

點關鍵字看更多相關文章: