最新 Windows 10 0-Day 漏洞在推特上出現,可執行任意檔案

一名駭客在 Twitter 上釋出最新的 Windows 10 0-Day 漏洞,能讓低權限帳號擁有所有檔案操作權限,並且執行任意程式碼。

內文:

這名署名為 SandboxEscaper 的 Twitter 帳戶,本周二在 Twitter 上釋出這個 0-Day 嚴重漏洞;該漏洞可讓一個僅有較低權限的 Windows 10 用戶,藉由將舊版 Windows XP 的 .JOB 工作檔匯入至 Windows 10 的工作管理員中進行一系列操作,最後取得較高的檔案操作權限。

以這個漏洞進行攻擊的駭客,將無需直接取得高權限用戶的帳密,就可以遠端操控受害電腦,任意進行檔案操作,甚至取得高權限用戶的登入資訊。

由於這個漏洞實在太新,因此還沒有 CVE 編號;現有的最新版本 Windows 10 也尚無修補程式可用。

該駭客說他手上還有另外四個 Windows 10 0-Day 漏洞,打算以六萬美元售給非西方國家的客戶。

參考連結:

  1. https://threatpost.com/windows-zero-day-lpe/144976/
  2. https://github.com/SandboxEscaper/polarbearrepo/blob/master/bearlpe/readme.rtf

發表留言