A mesma pesquisadora em segurança que no final de agosto relatou, através de sua conta do Twitter, uma vulnerabilidade zero-day que afetava a função ALPC do Windows e que permitia o escalonamento de privilégios de forma local, novamente relatou através da rede social a descoberta de uma nova vulnerabilidade zero-day no Windows. Desta vez, a falha afeta um serviço local chamado Microsoft Data Sharing, permitindo que um cibercriminoso possa excluir qualquer tipo de arquivo do dispositivo da vítima.
https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.
— SandboxEscaper (@SandboxEscaper) 23 de outubro de 2018
Em sua publicação, a pesquisadora também incluiu um link para o GitHub, onde compartilhou uma prova de conceito (PoC, sigla em Inglês) do exploit que se aproveita desta nova vulnerabilidade, que ainda não conta com um CVE.
De acordo com uma análise realizada por alguns especialistas sobre a prova de conceito, essa vulnerabilidade também pode ser usada para o escalonamento de privilégios em sistemas aos quais já possuem acesso, publicou o site ZDNet. Apesar que, segundo os especialistas, a PoC divulgada está projetada para excluir arquivos que normalmente podem ser eliminados apenas com privilégios de administrador. Além disso, os especialistas comentaram que com algumas modificações é possível realizar outras ações nos dispositivos afetados.
O serviço Data Sharing (dssvc.dll), aparentemente só está presente no Windows 10, portanto, a falha afeta apenas essa versão do sistema operacional.
Por outro lado, os especialistas alertam os usuários para que não executem a prova de conceito, já que, caso contrário, serão excluídos dados fundamentais do sistema operacional que impedem a reinicialização do sistema ao provocar um erro que fará com que os usuários tenham que restaurá-lo.
Essa mesma pesquisadora, que relatou a falha sem aviso prévio à Microsoft, foi quem publicou outra vulnerabilidade zero-day no Windows e, apenas dois dias depois de se tornar pública, foi detectada como ativa por pesquisadores da ESET em uma campanha maliciosa do grupo Power Pool. No caso da vulnerabilidade divulgada em agosto, a Microsoft lançou um patch que corrige o problema através da liberação mensal de atualizações conhecidas como Patch Tuesday. Portanto, devemos esperar para o próximo pacote de atualizações da empresa, que está previsto para o dia 13 de novembro, e que a Microsoft realmente inclua um patch para esse bug.