漏洞概述：

近日，國外安全研究員SandboxEscaper又一次在推特上公佈了新的Windows 0 day漏洞細節及PoC。這是2018年8月開始該研究員公佈的第三個windows 0 day漏洞。此次披露的漏洞可造成任意檔案讀取。該漏洞可允許低許可權使用者或惡意程式讀取目標Windows主機上任意檔案的內容，但不可對檔案進行寫入操作。在微軟官方補丁釋出之前，所有windows使用者都將受此漏洞影響。

目前該作者的推特賬號已被凍結，Github賬號已被封禁，但目前該漏洞PoC已公開，請相關使用者引起關注。

參考連結：https://thehackernews.com/2018/12/windows-zero-day-exploit.html

影響範圍：

所有Windows版本

漏洞演示視訊：

https://v.qq.com/x/page/l1355lq4hp7.html

漏洞驗證工具可到下面的連結下載：

https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意檔案讀取漏洞排查工具.zip

漏洞復現：

防護建議：

該漏洞不能遠端利用，因此想要觸發該漏洞，需在目標主機上執行漏洞利用程式，截止本通告發布，微軟官網仍未釋出修復補丁，請使用者及時持續關注官方的修復公告。

為防止攻擊者利用該漏洞讀取本地的敏感資訊，請謹慎執行來源不明的檔案，及時安裝防毒軟體，並實時監控攻擊者的入侵行為，攻擊者常見的攻擊手段如下圖所示：

根據攻擊者的常用手段，可重點關注具有以下特徵的告警：

• 若同一來源IP地址觸發多條告警，若觸發告警時間較短，判斷可能為掃描行為，若告警事件的協議摘要中存在部分探測驗證payload，則確認為漏洞掃描行為，若協議摘要中出現具有攻擊性的payload，則確認為利用漏洞執行惡意程式碼。
• 若告警事件為服務認證錯誤，且錯誤次數較多，認證錯誤間隔較小，且IP地址為同一IP地址，則判斷為暴力破解事件；若錯誤次數較少，但超出正常認證錯誤頻率，則判斷為攻擊者手工嘗試弱口令。
• 若內網監測發現木馬通訊告警，則認為伺服器確認已被攻陷。

參考連結：

http://blog.nsfocus.net/windows-zero-day-exploit/